Страница 2 из 2
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 15:08
mafijs
Ну такое правило не подойдет ? Или здесь ошибка?
/ip firewall filter add action=drop chain=forward src-address-list=no-internet
где в "no-internet" списке все адреса, которым запрет выходить в интернет.
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 15:40
Inner
Руками не пропишит. За устройствами строгий контроль. BIOS запаролен, у всех учетки пользователей. Средствами домена рассшарена группа эникеев, который только на машинах могут быть админами. Плюс средствами ServiceDesk Desktop Central идет жесткий контроль по всем изменением с моментальным уведомлением по почте. Поэтому, конкретно в моём случае, это лучшее решение до которого я смог додуматься.
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 15:41
Inner
mafijs писал(а): ↑03 июл 2020, 15:08
Ну такое правило не подойдет ? Или здесь ошибка?
/ip firewall filter add action=drop chain=forward src-address-list=no-internet
где в "no-internet" списке все адреса, которым запрет выходить в интернет.
Идея ясна. Однако хочется до фаервола не допускать все машины, а только те, которым интернет разрешен, и вот их уже фаерволить, натить и т.д.
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 15:46
xvo
Ну ок, попробуйте вообще не прописывать шлюз для 10.0.0.1/16
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 15:56
Inner
xvo писал(а): ↑03 июл 2020, 15:46
Ну ок, попробуйте вообще не прописывать шлюз для 10.0.0.1/16
Это действительно работает. Подсеть 10.0.0.0/16 действительно приобретает желаемый вид. Есть пара нюансов с другими устройствами имеющими адреса вида 192.168.0.0, но это уже организационный момент да и не критично ибо их крайне мало. В целом вполне рабочее решение. Но насколько оно правильное? Как вообще правильно изолировать сеть? Появляются подозрения, что я допустил очень много ошибок.
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 16:05
xvo
Правильное решение - firewall, где все описано, кому куда можно, а куда нельзя :)
Потому что вот, например, если у вас будет две подсети, между которыми доступ надо разрешить, а наружу - запретить, то без шлюза уже не получится.
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 16:39
KARaS'b
Более того, фаервол как раз тот инструмент, что предназначен управлять доступом, т.е. решение для вашей задачи, но вы почему-то склоняетесь в сторону костыля. В идеале вообще было бы хорошо выделять клиентов которым необходим интернет еще на уровне l2, при помощи вланов, организовать им отдельную сеть и банальным правилом ната, правильно составленным, маскарадить их наружу, а остальных нет.
Re: Изоляция LAN, но не всей
Добавлено: 03 июл 2020, 19:23
Inner
KARaS'b писал(а): ↑03 июл 2020, 16:39
Более того, фаервол как раз тот инструмент, что предназначен управлять доступом, т.е. решение для вашей задачи, но вы почему-то склоняетесь в сторону костыля. В идеале вообще было бы хорошо выделять клиентов которым необходим интернет еще на уровне l2, при помощи вланов, организовать им отдельную сеть и банальным правилом ната, правильно составленным, маскарадить их наружу, а остальных нет.
То что нужно. Проверил. Работает именно так как мне было нужно. Огромное спасибо!