Russian Users MikroTik | Форум пользователей MikroTik

Добрый день форумчане!
Помогите мне разобраться.
Есть внутренняя сеть 192.168.1.0
Нужно чтобы человек во внутренней сети с IP 192.168.1.107 не мог бы ходить внутри сети по разным сетевым ресурсам, и заходить на разные устройства внутренней сети по IP адресу.
Пробовал в Firewall правила ставить с drop не получается.
Ставил правило самым первым, все равно ничего не выходит.
Подскажите что я делаю не так?

Вопрос - этот 192.168.1.107 подключен напрямую в роутер или гдето в сети в свитч ?

mafijs писал(а):Вопрос - этот 192.168.1.107 подключен напрямую в роутер или гдето в сети в свитч ?

Через неуправляемый свитч

reevvz писал(а):Через неуправляемый свитч

Так не получится. Клиент ходит в локалке минуя роутер.

mafijs писал(а):

reevvz писал(а):Через неуправляемый свитч

Так не получится. Клиент ходит в локалке минуя роутер.

То есть никакие правила, не помогут мне закрыть доступы внутри сети?
То есть снаружи я могу закрыть, для VPN,а внутри все равно пользователь будет видеть,все сетевые ресурсы и заходить на них по внутреннему IP?

reevvz писал(а):То есть никакие правила, не помогут мне закрыть доступы внутри сети?

Почитайте про маску сети. И думаю, Вы поймёте...

Vlad-2 писал(а):

reevvz писал(а):То есть никакие правила, не помогут мне закрыть доступы внутри сети?

Почитайте про маску сети. И думаю, Вы поймёте...

А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.

reevvz писал(а):А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.

Маска сети - это основа основ IP сетей. Знать надо!

Попробую на базе аллегорий:
В квартире Вы общаетесь с домашними просто так, разговариваете голосом,
но если Вам нужен сосед за стенкой или в соседней квартире, то Вы
уже воспользуетесь рацией, телефоном....

Так и тут, между устройствами,которая находятся в одной адресации, а маска сети
это длина выбранной адресации - общаться будут ТОЛЬКО напрямую, через роутер
трафик пойдёт когда им надо будет обратиться на "соседа" или ещё дальше.

Поэтому роутер и не участвует(не может) в локальных ограничениях.
Чтобы ограничивать один адрес от другого = надо или разделить их по разным
сегментам сети, или сужать у каждого маску (что тоже и создаёт разные сегменты)
и тем самым мы заставим их общаться через роутер.

Да, вылезут другие проблемы, но в рамках Ваших желаний только так.
Поэтому и есть понятие - локальная сеть и есть отдельная/гостевая/выделенная сеть.
И "чужих" в локальную сеть звать не надо!

Vlad-2 писал(а):

reevvz писал(а):А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.

Маска сети - это основа основ IP сетей. Знать надо!

Попробую на базе аллегорий:
В квартире Вы общаетесь с домашними просто так, разговариваете голосом,
но если Вам нужен сосед за стенкой или в соседней квартире, то Вы
уже воспользуетесь рацией, телефоном....

Так и тут, между устройствами,которая находятся в одной адресации, а маска сети
это длина выбранной адресации - общаться будут ТОЛЬКО напрямую, через роутер
трафик пойдёт когда им надо будет обратиться на "соседа" или ещё дальше.

Поэтому роутер и не участвует(не может) в локальных ограничениях.
Чтобы ограничивать один адрес от другого = надо или разделить их по разным
сегментам сети, или сужать у каждого маску (что тоже и создаёт разные сегменты)
и тем самым мы заставим их общаться через роутер.

Да, вылезут другие проблемы, но в рамках Ваших желаний только так.
Поэтому и есть понятие - локальная сеть и есть отдельная/гостевая/выделенная сеть.
И "чужих" в локальную сеть звать не надо!

Знать надо это я с вами полностью согласен!
То есть по идее, мне надо создать VLAN и разделить устройства к которым не должно быть доступа. А далее уже их блокировать.
Спасибо за подробный ответ. Буду думать как быть дальше.

reevvz писал(а):Знать надо это я с вами полностью согласен!
То есть по идее, мне надо создать VLAN и разделить устройства к которым не должно быть доступа. А далее уже их блокировать.
Спасибо за подробный ответ. Буду думать как быть дальше.

Я о вилане что-то сказал вообще?
Вилан работает на L2-уровне, а мы сейчас говорим про айпи и как его закрыть, айпи адресация это
L3-уровень. Я говорил о маске и о IP-сегментах!

Вам надо создать две сети, разные, условно:
192.168.10.0/24
192.168.20.0/24
и связь между ними (по-умолчанию, между сетями в роутере всё можно) уже можно ограничивать.

Либо ещё вот так, то две сети
192.168.10.0/25 и 192.168.10.128/25
- в данном примере два разные сети....