Две изолированных сети LAN с управляемым доступом между ними

Обсуждение оборудования и его настройки
Ответить
eant
Сообщения: 4
Зарегистрирован: 26 авг 2013, 10:20

Подскажите как решить задачу.
Имеется RB1100 один ISP и две LAN подключенные к разным интерфейсам.
В LAN-1 и LAN-2 используется разное адресное пространство.
Система настроена и работает на доступ в интернет.
НО есть нежелательный доступ между LAN_ами. Т.е. срабатывает маршрутизация
и из сети 192.168.1.0/24 можно обращаться с компьютерам в сети 192.168.2.0/24.

Необходимо закрыть маршрутизацию между LAN-1 и LAN-2, но иметь возможность
нескольким компьютерам из сети LAN-1 подключаться к серверу в сети LAN-2.
Желательно иметь возможность ограничить доступ по IP адресам и по портам.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Как то так можно блокировать:

Код: Выделить всё

add action=drop chain=forward disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24

Чтобы разрешить доступ с определенных ip ил на определенные порты, нужно добавить разрешающее правило и поставить его над запрещающими.
Например:

Код: Выделить всё

add action=accept chain=forward disabled=no dst-address=192.168.1.10/24 src-address=192.168.2.10/24
add action=accept chain=forward disabled=no dst-address=192.168.2.10/24 src-address=192.168.1.10/24

В данном сллучае разрешено все между двумя ip в обоих направлениях. По необходимости можно добавить порты.
Возможно есть и более красивые варианты решения проблемы.


eant
Сообщения: 4
Зарегистрирован: 26 авг 2013, 10:20

Спасибо "plin2s" за оперативный ответ.
Все четыре правила в Firewall-Filter_Rules заработали "как доктор прописал".
А портами пока не получается. При добавлении условия по порту перестает работать связь,
указанная в разрешающих правилах.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

что значит по порту? приведите пример правила, после которого что то перестает работать.
сделайте /ip firewall filter export и здесь его покажите


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Если после добавления в правило конкретного порта есчезает связь, то скорее всего проблема именно в портах. Наверняка не все нужные порты открыли. Можете название протокола, которым собираетесь пользоваться, и порты, которые для него открыли?


eant
Сообщения: 4
Зарегистрирован: 26 авг 2013, 10:20

Благодаря "simpl3x" усомнился в своем утверждении.
Провел серию экспериментов и выяснил, что фильтр по портам работает,
но только при определенном варианте.
Если коротко, то если из сети LAN-2 хотим подключиться к LAN-1 тогда:
1. в разрешающем фильтре где Src/ Address LAN-2 указывает нужный протокол
и только Dst. Port.
2. в разрешающем фильтре где Src/ Address LAN-1 указывает нужный протокол
и только Src. Port.
Вложения
вар.4 - RDP не работает.jpg
вар.4 - RDP не работает.jpg (38.76 КБ) 4215 просмотров
вар.3 - UVNC работает из LAN-1.jpg
вар.3 - UVNC работает из LAN-1.jpg (38.14 КБ) 4215 просмотров
вар.2 - UVNC работает из LAN-2.jpg
вар.2 - UVNC работает из LAN-2.jpg (39.93 КБ) 4215 просмотров
вар.2 - RDP работает из LAN-2.jpg
вар.2 - RDP работает из LAN-2.jpg (38.18 КБ) 4215 просмотров
вар.1 - RDP и UVNC работает из LAN-1 и LAN-2.jpg
вар.1 - RDP и UVNC работает из LAN-1 и LAN-2.jpg (37.82 КБ) 4215 просмотров


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну а вы уверены, что RDP работает с порта 3389 на 3389? мне кажется что там нужно только dst-port
и еще добавьте эти два правила наверх:

Код: Выделить всё

add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no


eant
Сообщения: 4
Зарегистрирован: 26 авг 2013, 10:20

По поводу правил Esteblished и Related.
Спасибо, что обратили на это внимание.
Действительно, есть интересная зависимость:

- если Esteblished и Related выше разрешающего правила - тогда как Вы и сказали
достаточно только одного правила с Dst. Port

-если Esteblished и Related ниже запрещающих правил
add action=drop chain=forward comment="" disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24

- тогда надо указывать второе разрешающее правило с Src. Port


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну если они ниже запретов, то значит они не работают =)

а по поводу dst-port я имел ввиду, что у вас с правилами RDP сразу в одном правиле есть и src-port, и dst-port что не верно, очень редко, когда src-port совпадает с dst-port.
а для чего нужны мои правила, вы сами верно поняли =) чтобы не делать одну работу дважды.


Ответить