Запрет доступа в локальной сети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

Добрый день форумчане!
Помогите мне разобраться.
Есть внутренняя сеть 192.168.1.0
Нужно чтобы человек во внутренней сети с IP 192.168.1.107 не мог бы ходить внутри сети по разным сетевым ресурсам, и заходить на разные устройства внутренней сети по IP адресу.
Пробовал в Firewall правила ставить с drop не получается.
Ставил правило самым первым, все равно ничего не выходит.
Подскажите что я делаю не так?


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Вопрос - этот 192.168.1.107 подключен напрямую в роутер или гдето в сети в свитч ?


reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

mafijs писал(а):Вопрос - этот 192.168.1.107 подключен напрямую в роутер или гдето в сети в свитч ?

Через неуправляемый свитч


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

reevvz писал(а):Через неуправляемый свитч

Так не получится. Клиент ходит в локалке минуя роутер.


reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

mafijs писал(а):
reevvz писал(а):Через неуправляемый свитч

Так не получится. Клиент ходит в локалке минуя роутер.

То есть никакие правила, не помогут мне закрыть доступы внутри сети?
То есть снаружи я могу закрыть, для VPN,а внутри все равно пользователь будет видеть,все сетевые ресурсы и заходить на них по внутреннему IP?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

reevvz писал(а):То есть никакие правила, не помогут мне закрыть доступы внутри сети?

Почитайте про маску сети. И думаю, Вы поймёте...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

Vlad-2 писал(а):
reevvz писал(а):То есть никакие правила, не помогут мне закрыть доступы внутри сети?

Почитайте про маску сети. И думаю, Вы поймёте...

А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

reevvz писал(а):А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.

Маска сети - это основа основ IP сетей. Знать надо!

Попробую на базе аллегорий:
В квартире Вы общаетесь с домашними просто так, разговариваете голосом,
но если Вам нужен сосед за стенкой или в соседней квартире, то Вы
уже воспользуетесь рацией, телефоном....

Так и тут, между устройствами,которая находятся в одной адресации, а маска сети
это длина выбранной адресации - общаться будут ТОЛЬКО напрямую, через роутер
трафик пойдёт когда им надо будет обратиться на "соседа" или ещё дальше.

Поэтому роутер и не участвует(не может) в локальных ограничениях.
Чтобы ограничивать один адрес от другого = надо или разделить их по разным
сегментам сети, или сужать у каждого маску (что тоже и создаёт разные сегменты)
и тем самым мы заставим их общаться через роутер.

Да, вылезут другие проблемы, но в рамках Ваших желаний только так.
Поэтому и есть понятие - локальная сеть и есть отдельная/гостевая/выделенная сеть.
И "чужих" в локальную сеть звать не надо!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

Vlad-2 писал(а):
reevvz писал(а):А можно немного подробнее?
Просто времени сейчас нет вникать очень глубоко. Нужно просто решение. Да или нет.
Но за совет спасибо.

Маска сети - это основа основ IP сетей. Знать надо!

Попробую на базе аллегорий:
В квартире Вы общаетесь с домашними просто так, разговариваете голосом,
но если Вам нужен сосед за стенкой или в соседней квартире, то Вы
уже воспользуетесь рацией, телефоном....

Так и тут, между устройствами,которая находятся в одной адресации, а маска сети
это длина выбранной адресации - общаться будут ТОЛЬКО напрямую, через роутер
трафик пойдёт когда им надо будет обратиться на "соседа" или ещё дальше.

Поэтому роутер и не участвует(не может) в локальных ограничениях.
Чтобы ограничивать один адрес от другого = надо или разделить их по разным
сегментам сети, или сужать у каждого маску (что тоже и создаёт разные сегменты)
и тем самым мы заставим их общаться через роутер.

Да, вылезут другие проблемы, но в рамках Ваших желаний только так.
Поэтому и есть понятие - локальная сеть и есть отдельная/гостевая/выделенная сеть.
И "чужих" в локальную сеть звать не надо!


Знать надо это я с вами полностью согласен!
То есть по идее, мне надо создать VLAN и разделить устройства к которым не должно быть доступа. А далее уже их блокировать.
Спасибо за подробный ответ. Буду думать как быть дальше.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

reevvz писал(а):Знать надо это я с вами полностью согласен!
То есть по идее, мне надо создать VLAN и разделить устройства к которым не должно быть доступа. А далее уже их блокировать.
Спасибо за подробный ответ. Буду думать как быть дальше.

Я о вилане что-то сказал вообще?
Вилан работает на L2-уровне, а мы сейчас говорим про айпи и как его закрыть, айпи адресация это
L3-уровень. Я говорил о маске и о IP-сегментах!

Вам надо создать две сети, разные, условно:
192.168.10.0/24
192.168.20.0/24
и связь между ними (по-умолчанию, между сетями в роутере всё можно) уже можно ограничивать.

Либо ещё вот так, то две сети
192.168.10.0/25 и 192.168.10.128/25
- в данном примере два разные сети....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить