Частичные запреты внутри LAN

[sak60]

Подскажите, пожалуйста, куда копать: необходимо запретить обращение с некоторых IP к некоторым другим IP внутри одной LAN .

[Vlad-2]

Подскажите, пожалуйста, куда копать: необходимо запретить обращение с некоторых IP к некоторым другим IP внутри одной LAN .

Если у этих двух адресов одинаковая маска - то такое сделать на базе роутера не возможно.
И стоит об этом Вам почитать как работает сеть и как в целом идёт обращение.
Если кратко: то в рамках одной маски - пакеты идут напрямую, минуя роутер,
поэтому нельзя ограничивать то, чего невозможно выловить.

Чтобы на роутере делать ограничения, Вам надо сеть разделять на подсети, подсети завести на роутере и
уже тогда, когда одна подсеть будет обращаться в другую подсеть, такие запросы и пойдут уже через роутер,
и вот уже при таком подходе и можете уже делать ограничения и другие административные решения.

[vqd]

Если у этих двух адресов одинаковая маска - то такое сделать на базе роутера не возможно.

А если утройства воткнуты непосредственно в микротик то как минимум 2 способа реализации данной задачи есть

[enzain]

Подскажите, пожалуйста, куда копать: необходимо запретить обращение с некоторых IP к некоторым другим IP внутри одной LAN .

Через свитч, к которому они подключены

[enzain]

Подскажите, пожалуйста, куда копать: необходимо запретить обращение с некоторых IP к некоторым другим IP внутри одной LAN .

Если у этих двух адресов одинаковая маска - то такое сделать на базе роутера не возможно.
И стоит об этом Вам почитать как работает сеть и как в целом идёт обращение.
Если кратко: то в рамках одной маски - пакеты идут напрямую, минуя роутер,
поэтому нельзя ограничивать то, чего невозможно выловить.

Ну через свитч же, зачем пугаете людей то? ...

[Vlad-2]

Ну через свитч же, зачем пугаете людей то? ...

Ну как всегда, не можете не хвастануться...

Какой свитч?, человек спросил про IP адреса, значит работа идёт в рамках L3-уровня, я не думаю и даже более чем уверен,
что нету у него свитча L3 уровня, и даже L2 сомневаюсь что есть.

Понятно что можно всё и как угодно извратиться, и любой ответ будет и правильным и не правильным,
смотря как на это посмотреть и в какой плоскости, но не будем заниматься извращениями,
надо всё же советы давать не только правильные, но и корректные в плане стандартов, требований
и прочего. Костыли везде можно сделать, но советовать такое - опасно и считаю плохим тоном.

[enzain]

Костыли везде можно сделать, но советовать такое - опасно и считаю плохим тоном.

Коль человек пишет на форуме микротик, надо полагать что железки у него микротик ....
Не плохо бы конечно схему подключения иметь, но если подключение через микротиковские желзки (свитчи роутеры с бриджом) - то все это делается достаточно просто .. при чем проще учитывать маки при фильтрации чем ИПы ...
И это стандартно, ничего страшного тут нет, или неординарного.. С чего вдруг "советовать такое - опасно"

Но могу перефразировать так: если свитч L2 или L3 управляемый то можно. И это штатная функция свитчей, в которой нет ничего страшного.

ПС: конечно, желательно б схемку подключения с моделями обордуования.

[sak60]

Спасибо за мысли. Дело в том, что Микротик я недавно поставил. Раньше стоял старенький Zyxell (у него своя собственная ОС) и там это решалось без проблем - выбираешь направление LAN-LAN (а выбраешь направление из матрицы WAN/LAN/DMZ х WAN/LAN/DMZ, может еще что-то забыл) и пишешь для него любые правила. Если напишешь, что DROP со 192.168.100.1 на 192.168.100.5 (для подсети 192.168.100.0/24), то такие пакеты ходить не будут, а все остальное в подсети прекрасно бегает :) Естественно подключение должно быть к разным портам Zyxell, чтобы пакеты шли через маршрутизатор а не через близлежащий hub.
Хочется и на микртотике так сделать, чтобы "изолировать" некоторые компьютеры в подсети.

Может быть на Микротике нужно решать задачу иначе, чем в Zyxel? Цель: некоторые компьютеры "не видят" друг друга, но все они видят общие сетевые принтеры. И решать задачу созданием несколько подсетей с различным уровнем доступа друг к другу?

[enzain]

......

Можно решить и так и так, можно на бридже фильтровать пакеты, а можно разные подсети сделать и фильтровать уже там.

Как вам удобнее и понятнее, так и делайте.

Но модель железки б подкинули :)

И как подключено. Всё в микротик? Или где то есть свитч?

[vqd]

Спасибо за мысли. Дело в том, что Микротик я недавно поставил. Раньше стоял старенький Zyxell (у него своя собственная ОС) и там это решалось без проблем - выбираешь направление LAN-LAN (а выбраешь направление из матрицы WAN/LAN/DMZ х WAN/LAN/DMZ, может еще что-то забыл) и пишешь для него любые правила. Если напишешь, что DROP со 192.168.100.1 на 192.168.100.5 (для подсети 192.168.100.0/24), то такие пакеты ходить не будут, а все остальное в подсети прекрасно бегает :) Естественно подключение должно быть к разным портам Zyxell, чтобы пакеты шли через маршрутизатор а не через близлежащий hub.
Хочется и на микртотике так сделать, чтобы "изолировать" некоторые компьютеры в подсети.

Может быть на Микротике нужно решать задачу иначе, чем в Zyxel? Цель: некоторые компьютеры "не видят" друг друга, но все они видят общие сетевые принтеры. И решать задачу созданием несколько подсетей с различным уровнем доступа друг к другу?

А тут собственно так же, просто зиксель это набор готовых решений от разработчика, а микротик набор инструментов из которого можно собрать нужное Вм решение