Настройка firewall.

Обсуждение оборудования и его настройки
Ответить
j0hn
Сообщения: 10
Зарегистрирован: 05 апр 2013, 14:36

1. необходимо запретить доступ до сетей за микротиком из Wi-fi и интернет.
2. вроде правила запилил, получилось запретить доступ только до сети 192.168.88.0/24.
3.
/interface vrrp
add authentication=simple interface=ether1 interval=5s name=vrrp1 password=wifi123 version=2 vrid=51
add authentication=simple interface=ether2 interval=5s name=vrrp2 password=wififw version=2 vrid=50
/interface vlan
add interface=ether11 l2mtu=1586 name=vlan1650 vlan-id=1650
add interface=ether1 l2mtu=1586 name=vlan1651 vlan-id=1651
add interface=ether2 l2mtu=1586 name=vlan1654 vlan-id=1654
/ip hotspot profile
add dns-name=test.ru hotspot-address=10.50.0.1 login-by=https name=hsprof1 radius-interim-update=15m ssl-certificate=cert_1 use-radius=yes

/ip pool
add name=hs-pool-1 ranges=10.50.5.1-10.50.63.254
/ip address
add address=10.65.0.6/22 interface=ether11 network=10.65.0.0
add address=10.50.0.6/18 interface=ether1 network=10.50.0.0
add address=10.50.0.1/32 interface=vrrp1 network=10.50.0.1
add address=192.168.1.245/28 interface=ether2 network=192.168.1.240
add address=192.168.1.244/32 interface=vrrp2 network=192.168.1.244
add address=192.168.88.1/24 interface=ether12 network=192.168.88.0
/ip dhcp-server network
add address=10.50.0.0/18 comment="hotspot network" gateway=10.50.0.1
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=drop chain=hs-input dst-address=10.65.0.0/22
add action=drop chain=hs-input dst-address=192.168.88.0/24
add action=drop chain=hs-input dst-address=10.137.1.240/28
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=yes src-address=10.50.0.0/18 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=yes src-address=10.50.0.0/18 to-addresses=0.0.0.0

/ip hotspot
add address-pool=hs-pool-1 addresses-per-mac=3 disabled=no idle-timeout=1w interface=vrrp1 keepalive-timeout=1w name=hotspot1 profile=hsprof1
/ip route
add distance=1 gateway=192.168.1.241

4. да.

по схеме, на микротике поднято два vrrp, один в сторону data wifi сети, второй в сторону маршрутизатора.
NAT так же будет осуществятся на маршрутизаторе.
в данный момент спокойно из сети вай-фай могу зайти на IP микротика и маршрутизатора 10.50.0.6 192.168.1.241


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

поправьте

add address=10.50.0.1/32 interface=vrrp1 network=10.50.0.1
add address=192.168.1.244/32 interface=vrrp2 network=192.168.1.244

не увидел как у вас в цепочку hs-input попадают


Есть интересная задача и бюджет? http://mikrotik.site
j0hn
Сообщения: 10
Зарегистрирован: 05 апр 2013, 14:36

можно по подробнее, где посмотреть?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

add action=drop chain=input dst-address=10.65.0.0/22
add action=drop chain=forward dst-address=10.65.0.0/22

В зависимости от того чего вы хотите добится

Хотя еще следует src-address добавить


Есть интересная задача и бюджет? http://mikrotik.site
j0hn
Сообщения: 10
Зарегистрирован: 05 апр 2013, 14:36

хочу чтобы пользователи не могли попасть на оборудование в сети управления и на сеть маршрутизатора.
а имели только выход в интернет и между собой после авторизации.

[admin@MikroTik] > add action=drop chain=input
bad command name add (line 1 column 1)
[admin@MikroTik] > add action=drop chain=input dst-address=10.65.0.0/22
syntax error (line 1 column 40)

да и таким конфигом насколько я понимаю заблокируется сеть управления для все, и для в том числе ((


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну правила я вам показал уже, а чем отличается инпут от форвард самостоятельно разберетесь уж


Есть интересная задача и бюджет? http://mikrotik.site
Ответить