Страница 1 из 1
Две изолированных сети LAN с управляемым доступом между ними
Добавлено: 26 авг 2013, 11:21
eant
Подскажите как решить задачу.
Имеется RB1100 один ISP и две LAN подключенные к разным интерфейсам.
В LAN-1 и LAN-2 используется разное адресное пространство.
Система настроена и работает на доступ в интернет.
НО есть нежелательный доступ между LAN_ами. Т.е. срабатывает маршрутизация
и из сети 192.168.1.0/24 можно обращаться с компьютерам в сети 192.168.2.0/24.
Необходимо закрыть маршрутизацию между LAN-1 и LAN-2, но иметь возможность
нескольким компьютерам из сети LAN-1 подключаться к серверу в сети LAN-2.
Желательно иметь возможность ограничить доступ по IP адресам и по портам.
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 26 авг 2013, 11:29
plin2s
Как то так можно блокировать:
Код: Выделить всё
add action=drop chain=forward disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24
Чтобы разрешить доступ с определенных ip ил на определенные порты, нужно добавить разрешающее правило и поставить его над запрещающими.
Например:
Код: Выделить всё
add action=accept chain=forward disabled=no dst-address=192.168.1.10/24 src-address=192.168.2.10/24
add action=accept chain=forward disabled=no dst-address=192.168.2.10/24 src-address=192.168.1.10/24
В данном сллучае разрешено все между двумя ip в обоих направлениях. По необходимости можно добавить порты.
Возможно есть и более красивые варианты решения проблемы.
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 26 авг 2013, 13:35
eant
Спасибо "plin2s" за оперативный ответ.
Все четыре правила в Firewall-Filter_Rules заработали "как доктор прописал".
А портами пока не получается. При добавлении условия по порту перестает работать связь,
указанная в разрешающих правилах.
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 26 авг 2013, 14:31
simpl3x
что значит по порту? приведите пример правила, после которого что то перестает работать.
сделайте /ip firewall filter export и здесь его покажите
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 27 авг 2013, 07:47
plin2s
Если после добавления в правило конкретного порта есчезает связь, то скорее всего проблема именно в портах. Наверняка не все нужные порты открыли. Можете название протокола, которым собираетесь пользоваться, и порты, которые для него открыли?
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 27 авг 2013, 10:48
eant
Благодаря "simpl3x" усомнился в своем утверждении.
Провел серию экспериментов и выяснил, что фильтр по портам работает,
но только при определенном варианте.
Если коротко, то если из сети LAN-2 хотим подключиться к LAN-1 тогда:
1. в разрешающем фильтре где Src/ Address LAN-2 указывает нужный протокол
и только Dst. Port.
2. в разрешающем фильтре где Src/ Address LAN-1 указывает нужный протокол
и только Src. Port.
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 27 авг 2013, 15:32
simpl3x
ну а вы уверены, что RDP работает с порта 3389 на 3389? мне кажется что там нужно только dst-port
и еще добавьте эти два правила наверх:
Код: Выделить всё
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 27 авг 2013, 16:14
eant
По поводу правил Esteblished и Related.
Спасибо, что обратили на это внимание.
Действительно, есть интересная зависимость:
- если Esteblished и Related выше разрешающего правила - тогда как Вы и сказали
достаточно только одного правила с Dst. Port
-если Esteblished и Related ниже запрещающих правил
add action=drop chain=forward comment="" disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24
- тогда надо указывать второе разрешающее правило с Src. Port
Re: Две изолированных сети LAN с управляемым доступом между
Добавлено: 27 авг 2013, 20:26
simpl3x
ну если они ниже запретов, то значит они не работают =)
а по поводу dst-port я имел ввиду, что у вас с правилами RDP сразу в одном правиле есть и src-port, и dst-port что не верно, очень редко, когда src-port совпадает с dst-port.
а для чего нужны мои правила, вы сами верно поняли =) чтобы не делать одну работу дважды.