Изоляция LAN, но не всей

Описание каждой версии, обсуждение особенностей и недостатков
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Ну такое правило не подойдет ? Или здесь ошибка?
/ip firewall filter add action=drop chain=forward src-address-list=no-internet
где в "no-internet" списке все адреса, которым запрет выходить в интернет.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Руками не пропишит. За устройствами строгий контроль. BIOS запаролен, у всех учетки пользователей. Средствами домена рассшарена группа эникеев, который только на машинах могут быть админами. Плюс средствами ServiceDesk Desktop Central идет жесткий контроль по всем изменением с моментальным уведомлением по почте. Поэтому, конкретно в моём случае, это лучшее решение до которого я смог додуматься.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

mafijs писал(а): 03 июл 2020, 15:08 Ну такое правило не подойдет ? Или здесь ошибка?
/ip firewall filter add action=drop chain=forward src-address-list=no-internet
где в "no-internet" списке все адреса, которым запрет выходить в интернет.
Идея ясна. Однако хочется до фаервола не допускать все машины, а только те, которым интернет разрешен, и вот их уже фаерволить, натить и т.д.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну ок, попробуйте вообще не прописывать шлюз для 10.0.0.1/16


Telegram: @thexvo
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

xvo писал(а): 03 июл 2020, 15:46 Ну ок, попробуйте вообще не прописывать шлюз для 10.0.0.1/16
Это действительно работает. Подсеть 10.0.0.0/16 действительно приобретает желаемый вид. Есть пара нюансов с другими устройствами имеющими адреса вида 192.168.0.0, но это уже организационный момент да и не критично ибо их крайне мало. В целом вполне рабочее решение. Но насколько оно правильное? Как вообще правильно изолировать сеть? Появляются подозрения, что я допустил очень много ошибок.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Правильное решение - firewall, где все описано, кому куда можно, а куда нельзя :)

Потому что вот, например, если у вас будет две подсети, между которыми доступ надо разрешить, а наружу - запретить, то без шлюза уже не получится.


Telegram: @thexvo
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Более того, фаервол как раз тот инструмент, что предназначен управлять доступом, т.е. решение для вашей задачи, но вы почему-то склоняетесь в сторону костыля. В идеале вообще было бы хорошо выделять клиентов которым необходим интернет еще на уровне l2, при помощи вланов, организовать им отдельную сеть и банальным правилом ната, правильно составленным, маскарадить их наружу, а остальных нет.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

KARaS'b писал(а): 03 июл 2020, 16:39 Более того, фаервол как раз тот инструмент, что предназначен управлять доступом, т.е. решение для вашей задачи, но вы почему-то склоняетесь в сторону костыля. В идеале вообще было бы хорошо выделять клиентов которым необходим интернет еще на уровне l2, при помощи вланов, организовать им отдельную сеть и банальным правилом ната, правильно составленным, маскарадить их наружу, а остальных нет.
То что нужно. Проверил. Работает именно так как мне было нужно. Огромное спасибо!


Ответить