Ну такое правило не подойдет ? Или здесь ошибка?
/ip firewall filter add action=drop chain=forward src-address-list=no-internet
где в "no-internet" списке все адреса, которым запрет выходить в интернет.
Изоляция LAN, но не всей
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Руками не пропишит. За устройствами строгий контроль. BIOS запаролен, у всех учетки пользователей. Средствами домена рассшарена группа эникеев, который только на машинах могут быть админами. Плюс средствами ServiceDesk Desktop Central идет жесткий контроль по всем изменением с моментальным уведомлением по почте. Поэтому, конкретно в моём случае, это лучшее решение до которого я смог додуматься.
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Идея ясна. Однако хочется до фаервола не допускать все машины, а только те, которым интернет разрешен, и вот их уже фаерволить, натить и т.д.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну ок, попробуйте вообще не прописывать шлюз для 10.0.0.1/16
Telegram: @thexvo
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Это действительно работает. Подсеть 10.0.0.0/16 действительно приобретает желаемый вид. Есть пара нюансов с другими устройствами имеющими адреса вида 192.168.0.0, но это уже организационный момент да и не критично ибо их крайне мало. В целом вполне рабочее решение. Но насколько оно правильное? Как вообще правильно изолировать сеть? Появляются подозрения, что я допустил очень много ошибок.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Правильное решение - firewall, где все описано, кому куда можно, а куда нельзя :)
Потому что вот, например, если у вас будет две подсети, между которыми доступ надо разрешить, а наружу - запретить, то без шлюза уже не получится.
Потому что вот, например, если у вас будет две подсети, между которыми доступ надо разрешить, а наружу - запретить, то без шлюза уже не получится.
Telegram: @thexvo
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Более того, фаервол как раз тот инструмент, что предназначен управлять доступом, т.е. решение для вашей задачи, но вы почему-то склоняетесь в сторону костыля. В идеале вообще было бы хорошо выделять клиентов которым необходим интернет еще на уровне l2, при помощи вланов, организовать им отдельную сеть и банальным правилом ната, правильно составленным, маскарадить их наружу, а остальных нет.
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
То что нужно. Проверил. Работает именно так как мне было нужно. Огромное спасибо!KARaS'b писал(а): ↑03 июл 2020, 16:39 Более того, фаервол как раз тот инструмент, что предназначен управлять доступом, т.е. решение для вашей задачи, но вы почему-то склоняетесь в сторону костыля. В идеале вообще было бы хорошо выделять клиентов которым необходим интернет еще на уровне l2, при помощи вланов, организовать им отдельную сеть и банальным правилом ната, правильно составленным, маскарадить их наружу, а остальных нет.