изоляция подсетей и маршрутизация избранных хостов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну вот же был пример

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

А что бы в этом правиле исключение добавить вкорячиваем соответствующий адрес лист вдогонку

Сейчас поздно уже и потому пример лень делать, ели ни кто не сделает то состряпаю сутра )))


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну собственно как и обещал.
Возьмем задачу и что бы было не все так просто ее же немного усложним

Имеем
Сеть А - 192.168.0.0/24
Сеть Б - 192.168.1.0/24

Задача
Полностью изолировать обе сети кроме устройство из сети А с ИП - 192.168.0.100 которое должно спокойно работать ТОЛЬКО с устройством в сети Б ИП - 192.168.1.200
Устройство из сети Б - ИП 192.168.1.200 доступа в сеть А не имеет в том числе и до 192.168.0.100

Вот так вот. В головах начинает возникать либо портянка правил либо пустота ))) Сделаем это все 2-мя правилами в фильтрах

А понадобится там вот эта статья в викии http://wiki.mikrotik.com/wiki/Manual:IP ... Properties
конкретно

connection-state (estabilished | invalid | new | related; Default: )
established - a packet which belongs to an existing connection
invalid - a packet which could not be identified for some reason
new - the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions.
related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection


Получаем:

Код: Выделить всё

/ip firewall address-list
add address=192.168.0.100 list=no_filterA
add address=192.168.1.200 list=no_filterB

/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/24 src-address=192.168.1.0/24 src-address-list=!no_filterA dst-address-list=!no_filterB
add action=drop chain=forward connection-state=new dst-address=192.168.1.0/24 src-address=192.168.0.0/24


Можно в принципе использовать 1 адрес лист но может возникнуть каша
Можно еще сократить и в одну строчку сделать но кривовато будет

Поясняю:
Когда устройство с адресом 192.168.0.100 ломится в сеть Б оно попадает в исключение src-address-list=!no_filterA но блокируется src-address-list=!no_filterB
Когда устройство с адресом 192.168.0.100 ломится до 192.168.1.200 до блокировки не происходит и диалог устанавливается ибо ответы от 192.168.1.200 не соответствуют ни одному правилу
Когда устройство с адресом 192.168.1.200 ломится в сеть А до все его запросы попадают под второй фильтр и соединение не устанавливается.

Теперь немного покритикую вариант с
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

Да оно внешне работать будет, то-есть все попытки соединится из сети 192.168.1.0/24 в сеть 192.168.77.0/24 будут пресекаться
НО соединения из сети 192.168.77.0/24 будут пропускаться, а резаться будут именно ответы и потому ЯКОБЫ соединения нет, на самом деле просто не доходят ответы

Правильно будет так

Код: Выделить всё

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24
add action=drop chain=forward dst-address=192.168.77.0/24 src-address=192.168.1.0/24


ну или так (не совсем корректное решение)

Код: Выделить всё

add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16


Есть интересная задача и бюджет? http://mikrotik.site
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

vqd писал(а):
Теперь немного покритикую вариант с
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

Да оно внешне работать будет, то-есть все попытки соединится из сети 192.168.1.0/24 в сеть 192.168.77.0/24 будут пресекаться
НО соединения из сети 192.168.77.0/24 будут пропускаться, а резаться будут именно ответы и потому ЯКОБЫ соединения нет, на самом деле просто не доходят ответы


Абсолютно согласен. Просто во встречном сегменте сети у меня тоже микротик стоит и на нем уже обратное правило прописано.


Кстати, если IP адресов, которым нужно разрешить доступ немного, можно обойтись без адрес листов.
Выше правил блокировки прописать правила разрешающие доступ для нужных IP. Допустим это IP адрес компа админа.
В таком случаем в таблице IP-firewall все видно сразу, а если настроить отображаемые столбцы, то и вообще одного взгляда будет достаточно, чтобы понять, у кого есть доступ, а у кого нет.

Итог беседы: ТС мы дали направление, в котором нужно двигаться и самому изучать возможности микротика, а не ждать, что кто-то напишет за него.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Тоже верно, можно без адрес листов сделать, это просто увеличит кол-во правил в фильтре. Вариантов много, я показал сам принцип )))


Есть интересная задача и бюджет? http://mikrotik.site
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вот это шикарно! Определенно надо где то увековечить! :co_ol:


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну если все понятно то увековечится само в голове ))))


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

vqd писал(а):Ну если все понятно то увековечится само в голове ))))

Если ты не против, я могу у себя в ЖЖ оставить, со ссылкой на тебя и на тему обсуждения. Все равно туда народ ходит, как в справочную, а я там в последнее время не бываю, что-то поджало со временем совсем.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

да пожалуйста


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Спасибо, сделал. Ссылайтесь, если что.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
andrey1206
Сообщения: 0
Зарегистрирован: 30 мар 2017, 09:38

Всем добрый день! Вроде читаю и все понятно, но не получается у меня. Либо у меня такая конфигурация сети, и надо что то еще дописывать.
Задача: несколько ПК в сети 192.168.100.0/24 и один ПК 192.168.101.2, который должен выходить в интернет и видеть только один ПК 192.168.100.23. При этом один микротик, на котором интернет и DHCP.
Привожу свой конфиг, может кто подскажет в чем ошибки. Спасибо!
/ip pool
add name=LAN ranges=192.168.100.2-192.168.100.30
add name=POOL_LAN2 ranges=192.168.101.2
/ip dhcp-server
add address-pool=LAN disabled=no interface=LAN lease-time=3d name=LAN
add address-pool=POOL_LAN2 disabled=no interface=ether5 lease-time=1d name=LAN2
/ip address
add address=192.168.100.1/24 interface=LAN network=192.168.100.0
add address=192.168.15.15/20 interface=wan1 network=192.168.0.0
add address=192.168.101.1/24 interface=ether5 network=192.168.101.0
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
add address=192.168.101.0/24 dns-server=192.168.101.1 gateway=192.168.101.1
/ip firewall address-list
add address=192.168.101.2 list=no_filterA
add address=192.168.100.23 list=no_filterB
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.101.0/24 dst-address-list=!no_filterB src-address=192.168.100.0/24 src-address-list=!no_filterA
add action=drop chain=forward connection-state=new dst-address=192.168.100.0/24 src-address=192.168.101.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan1
/ip route
add comment=INET1 distance=1 gateway=192.168.15.200


Ответить