К Микротику подключен модем DSL в первый порт. Айпи модема 192.168.240.1. Со второго порта идёт раздача на две небольших сети 192.168.1.0/24 и 192.168.2.0/24. При этом микротик выполняет функции мак-фильтра и шейпера. Но есть проблема: любой пользователь сети может просканить сеть и найти в ней модем (WTF !!!), кроме того пользователи первой сети могут беспрепятственно "видеть" роутеры из второй cети (WFT !!! х2). Чтобы присечь сие безобразие необходимо прописать правила фаервола чтобы каждый пользователь не видел никого кроме шлюза интернета и хостов со своей сети. В идеальном варианте - только шлюз и все.
Как же правильно прописать правила фаервола для первого случая и для второго случая ?
Спрятать шлюз
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Если на втором порту только неуправляемые коммутаторы, то файрвол Микротика бесполезен для изоляции.
Нужны схема и конфиг.
Нужны схема и конфиг.
-
- Сообщения: 5
- Зарегистрирован: 15 янв 2017, 04:22
на втром проту только неупраляемые свичи и единственное думающее устройство это мой RB750.
На самом деле моя сеть намного сложнее чем я описал, я просто упростил для целей форума чтобы была ясней задача. В конфиге много закоментированных правил (disabled=yes). Я этот мусор оставляю, просто чтоб случайно не удалить лишнее.
Что касается схемы, ну я вроде приблизительно описал в первом посте как все организовано. Если чтото надо пояснить - без проблем.
На самом деле моя сеть намного сложнее чем я описал, я просто упростил для целей форума чтобы была ясней задача. В конфиге много закоментированных правил (disabled=yes). Я этот мусор оставляю, просто чтоб случайно не удалить лишнее.
Что касается схемы, ну я вроде приблизительно описал в первом посте как все организовано. Если чтото надо пояснить - без проблем.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Ничего удивительного нет, скажу даже больше, любой пользователь может запустить трассировку и увидеть ваш модем как один из хопов, даже без сканирования сети.
Если вас беспокоит, что пользователи видят вебморду модема, то заблокируйте им доступ в фаерволе на 80 и до кучи 443 порты вашего модема, если модем еще и по телнету\ssh отвечает, то и их тоже. Что же до того, что сети видят друг друга, то вот тема - http://forummikrotik.ru/viewtopic.php?f=15&t=6572
Что до вашей схемы, то зачем вам вообще ADSL модем именно как активное устройство? Переведи его в режим бриджа и поднимайте pppoe сессию на микроте.
Если вас беспокоит, что пользователи видят вебморду модема, то заблокируйте им доступ в фаерволе на 80 и до кучи 443 порты вашего модема, если модем еще и по телнету\ssh отвечает, то и их тоже. Что же до того, что сети видят друг друга, то вот тема - http://forummikrotik.ru/viewtopic.php?f=15&t=6572
Что до вашей схемы, то зачем вам вообще ADSL модем именно как активное устройство? Переведи его в режим бриджа и поднимайте pppoe сессию на микроте.
Последний раз редактировалось KARaS'b 16 янв 2017, 07:55, всего редактировалось 1 раз.
-
- Сообщения: 5
- Зарегистрирован: 15 янв 2017, 04:22
Провайдер дает по DLS другой тип подключения. Обычно это PPPoE, но в моем случае это подключение называется DHCP или как сам модем его називает IPoE
Между PPPoE и DHCP (IPoE) есть разница http://www.differencebetween.net/techno ... and-pppoe/
Спасибо, хорошая статья. Будем тестить
Между PPPoE и DHCP (IPoE) есть разница http://www.differencebetween.net/techno ... and-pppoe/
Спасибо, хорошая статья. Будем тестить
Последний раз редактировалось bobik 15 янв 2017, 12:35, всего редактировалось 1 раз.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
И что? На Микротике этот режим поддерживается , вместо PPPoE поднимите DHCP-client на нем
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 5
- Зарегистрирован: 15 янв 2017, 04:22
это было бы идеальным решением!
как протестирую отпишусь.
Спасибо !
как протестирую отпишусь.
Спасибо !
-
- Сообщения: 5
- Зарегистрирован: 15 янв 2017, 04:22
По совету форумчанина KARaS'b прописал правила, запрещающие доступ к модему на 80 порт. Получилось вот такое:
таким образом доступ к модему закрыт отовсюду, при этом интернет работает. Все классно
По поводу закрытия доступа пользователям сети 192.168.0.1/24 к роутерам 192.168.1.1/24 и наоборот, то это должно решаться такими же правилами фаервола, хотя не проверял.
В теме viewtopic.php?f=15&t=6572 обсуждался второй вариант решения задачи - это посадить каждого пользователя в отдельный VLAN. Хороший вариант, но мне не очень подходит.
Пока разбирался нашел еще и третий вариант - это МАНГЛ. Если траффик "первой" сети маркируется и направляется на "первый" шлюз, то пользователи второй сети (в тех же условиях) не видят ни первую сеть ни его шлюз и это мне подошло
З.Ы. По поводу того чтобы поднять на Микротике IPoE подключение - с первого раза ничего не получилось. Потом создам под это отдельную тему
таким образом доступ к модему закрыт отовсюду, при этом интернет работает. Все классно
По поводу закрытия доступа пользователям сети 192.168.0.1/24 к роутерам 192.168.1.1/24 и наоборот, то это должно решаться такими же правилами фаервола, хотя не проверял.
В теме viewtopic.php?f=15&t=6572 обсуждался второй вариант решения задачи - это посадить каждого пользователя в отдельный VLAN. Хороший вариант, но мне не очень подходит.
Пока разбирался нашел еще и третий вариант - это МАНГЛ. Если траффик "первой" сети маркируется и направляется на "первый" шлюз, то пользователи второй сети (в тех же условиях) не видят ни первую сеть ни его шлюз и это мне подошло
З.Ы. По поводу того чтобы поднять на Микротике IPoE подключение - с первого раза ничего не получилось. Потом создам под это отдельную тему