Избирательная блокировка внутренних ресурсов сети для клиентов VPN

Illinory · 10 июл 2023, 22:09

isp55 писал(а): ↑10 июл 2023, 16:08 Сделал специально дроп 192.168.0.1 (это роутер сам)

Пинги идут, счетчик по 0.

Я надеюсь, Вы не запускали пинг с параметром -t, а после в процессе не создавали правило на drop, которое показано на скрине?
Чтобы потом не удивляться.

Illinory · 11 июл 2023, 11:02

Illinory писал(а): ↑10 июл 2023, 22:09
isp55 писал(а): ↑10 июл 2023, 16:08 Сделал специально дроп 192.168.0.1 (это роутер сам)

Пинги идут, счетчик по 0.
Я надеюсь, Вы не запускали пинг с параметром -t, а после в процессе не создавали правило на drop, которое показано на скрине?
Чтобы потом не удивляться.

Вчера как то слона не приметил, что Вы адрес Микротика добавили в правило в цепочку forward...

isp55 · 11 июл 2023, 11:29

Прямая ссылка на скрин фаервола https://i122.fastpic.org/big/2023/0710/ ... f8792c.png

isp55 · 11 июл 2023, 11:32

Illinory писал(а): ↑10 июл 2023, 22:09
isp55 писал(а): ↑10 июл 2023, 16:08 Сделал специально дроп 192.168.0.1 (это роутер сам)

Пинги идут, счетчик по 0.
Я надеюсь, Вы не запускали пинг с параметром -t, а после в процессе не создавали правило на drop, которое показано на скрине?
Чтобы потом не удивляться.

нет нет, что вы.
правило уже прописано, счетчик не тикает, параметр -t использую, но пинг регулярно перезапускаю

isp55 · 11 июл 2023, 11:34

Illinory писал(а): ↑11 июл 2023, 11:02
Illinory писал(а): ↑10 июл 2023, 22:09
isp55 писал(а): ↑10 июл 2023, 16:08 Сделал специально дроп 192.168.0.1 (это роутер сам)

Пинги идут, счетчик по 0.
Я надеюсь, Вы не запускали пинг с параметром -t, а после в процессе не создавали правило на drop, которое показано на скрине?
Чтобы потом не удивляться.
Вчера как то слона не приметил, что Вы адрес Микротика добавили в правило в цепочку forward...

В том то и дело, что мне надо дропать весь трафик к локальной сети, кроме 192.168.0.2. На скриншоте я сделал 192.168.0.1 как пример, чтобы клиенты VPNа не ходили и на микротик, но локалка как было доступна так и остается. Счетки пакетов на правиле forward drop не увеличивается.

xvo · 11 июл 2023, 13:22

А соединение то там точно успевает умереть?
Таймауты руками не крутили, которые для connection tracker'а?

isp55 · 11 июл 2023, 15:20

Illinory писал(а): ↑11 июл 2023, 11:02
Illinory писал(а): ↑10 июл 2023, 22:09
isp55 писал(а): ↑10 июл 2023, 16:08 Сделал специально дроп 192.168.0.1 (это роутер сам)

Пинги идут, счетчик по 0.
Я надеюсь, Вы не запускали пинг с параметром -t, а после в процессе не создавали правило на drop, которое показано на скрине?
Чтобы потом не удивляться.
Вчера как то слона не приметил, что Вы адрес Микротика добавили в правило в цепочку forward...

Вы скорее всего правы:
По всей видимости микротик (192.168.0.1) будет пинговаться всегда. Включил сервер 192.168.0.2 и добавил его в запрещающее drop forward вместо 192.168.0.1 - и все стало блокироваться.
Как-то от клиентов VPN можно микротик (кроме смены порта Winbox и установки пароля) скрыть?
В моем случае еще и клиенты VPN друг друга могут пинговать. Как можно запретить хождение трафика между ними?

xvo · 11 июл 2023, 19:10

isp55 писал(а): ↑11 июл 2023, 15:20 По всей видимости микротик (192.168.0.1) будет пинговаться всегда.

C чего бы вдруг?
У вас чтобы запрещать трафик для микротика есть цепочка input.
Вы вроде ещё в самом начале ветки уверяли, что понимаете, для чего какая - а получается, что не вполне.

isp55 · 12 июл 2023, 08:41

xvo писал(а): ↑11 июл 2023, 19:10
isp55 писал(а): ↑11 июл 2023, 15:20 По всей видимости микротик (192.168.0.1) будет пинговаться всегда.
C чего бы вдруг?
У вас чтобы запрещать трафик для микротика есть цепочка input.
Вы вроде ещё в самом начале ветки уверяли, что понимаете, для чего какая - а получается, что не вполне.

Добрый день!
Получается, что так. Вы правы.
Как сепарировать VPN клиентов разберусь сам.
Спасибо всем, кто оказал помощь.

Избирательная блокировка внутренних ресурсов сети для клиентов VPN

Вход • Регистрация