Добрый день форумчане!
Помогите мне разобраться.
Есть внутренняя сеть 192.168.1.0
Нужно чтобы человек во внутренней сети с IP 192.168.1.107 не мог бы ходить внутри сети по разным сетевым ресурсам, и заходить на разные устройства внутренней сети по IP адресу.
Пробовал в Firewall правила ставить с drop не получается.
Ставил правило самым первым, все равно ничего не выходит.
Подскажите что я делаю не так?
Запрет доступа в локальной сети
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Вопрос - этот 192.168.1.107 подключен напрямую в роутер или гдето в сети в свитч ?
-
- Сообщения: 44
- Зарегистрирован: 22 июл 2016, 19:09
mafijs писал(а):Вопрос - этот 192.168.1.107 подключен напрямую в роутер или гдето в сети в свитч ?
Через неуправляемый свитч
-
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
reevvz писал(а):Через неуправляемый свитч
Так не получится. Клиент ходит в локалке минуя роутер.
-
- Сообщения: 44
- Зарегистрирован: 22 июл 2016, 19:09
mafijs писал(а):reevvz писал(а):Через неуправляемый свитч
Так не получится. Клиент ходит в локалке минуя роутер.
То есть никакие правила, не помогут мне закрыть доступы внутри сети?
То есть снаружи я могу закрыть, для VPN,а внутри все равно пользователь будет видеть,все сетевые ресурсы и заходить на них по внутреннему IP?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
reevvz писал(а):То есть никакие правила, не помогут мне закрыть доступы внутри сети?
Почитайте про маску сети. И думаю, Вы поймёте...
-
- Сообщения: 44
- Зарегистрирован: 22 июл 2016, 19:09
Vlad-2 писал(а):reevvz писал(а):То есть никакие правила, не помогут мне закрыть доступы внутри сети?
Почитайте про маску сети. И думаю, Вы поймёте...
А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
reevvz писал(а):А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.
Маска сети - это основа основ IP сетей. Знать надо!
Попробую на базе аллегорий:
В квартире Вы общаетесь с домашними просто так, разговариваете голосом,
но если Вам нужен сосед за стенкой или в соседней квартире, то Вы
уже воспользуетесь рацией, телефоном....
Так и тут, между устройствами,которая находятся в одной адресации, а маска сети
это длина выбранной адресации - общаться будут ТОЛЬКО напрямую, через роутер
трафик пойдёт когда им надо будет обратиться на "соседа" или ещё дальше.
Поэтому роутер и не участвует(не может) в локальных ограничениях.
Чтобы ограничивать один адрес от другого = надо или разделить их по разным
сегментам сети, или сужать у каждого маску (что тоже и создаёт разные сегменты)
и тем самым мы заставим их общаться через роутер.
Да, вылезут другие проблемы, но в рамках Ваших желаний только так.
Поэтому и есть понятие - локальная сеть и есть отдельная/гостевая/выделенная сеть.
И "чужих" в локальную сеть звать не надо!
-
- Сообщения: 44
- Зарегистрирован: 22 июл 2016, 19:09
Vlad-2 писал(а):reevvz писал(а):А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.
Маска сети - это основа основ IP сетей. Знать надо!
Попробую на базе аллегорий:
В квартире Вы общаетесь с домашними просто так, разговариваете голосом,
но если Вам нужен сосед за стенкой или в соседней квартире, то Вы
уже воспользуетесь рацией, телефоном....
Так и тут, между устройствами,которая находятся в одной адресации, а маска сети
это длина выбранной адресации - общаться будут ТОЛЬКО напрямую, через роутер
трафик пойдёт когда им надо будет обратиться на "соседа" или ещё дальше.
Поэтому роутер и не участвует(не может) в локальных ограничениях.
Чтобы ограничивать один адрес от другого = надо или разделить их по разным
сегментам сети, или сужать у каждого маску (что тоже и создаёт разные сегменты)
и тем самым мы заставим их общаться через роутер.
Да, вылезут другие проблемы, но в рамках Ваших желаний только так.
Поэтому и есть понятие - локальная сеть и есть отдельная/гостевая/выделенная сеть.
И "чужих" в локальную сеть звать не надо!
Знать надо это я с вами полностью согласен!
То есть по идее, мне надо создать VLAN и разделить устройства к которым не должно быть доступа. А далее уже их блокировать.
Спасибо за подробный ответ. Буду думать как быть дальше.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
reevvz писал(а):Знать надо это я с вами полностью согласен!
То есть по идее, мне надо создать VLAN и разделить устройства к которым не должно быть доступа. А далее уже их блокировать.
Спасибо за подробный ответ. Буду думать как быть дальше.
Я о вилане что-то сказал вообще?
Вилан работает на L2-уровне, а мы сейчас говорим про айпи и как его закрыть, айпи адресация это
L3-уровень. Я говорил о маске и о IP-сегментах!
Вам надо создать две сети, разные, условно:
192.168.10.0/24
192.168.20.0/24
и связь между ними (по-умолчанию, между сетями в роутере всё можно) уже можно ограничивать.
Либо ещё вот так, то две сети
192.168.10.0/25 и 192.168.10.128/25
- в данном примере два разные сети....