Здравствует !
Я купил Mikrotik RB951 и осознавал, что будет тяжело, но за СТАБИЛЬНОСТЬ надо платить.
Друзья появилась идея такая:
Имеется Mikrotik RB951 и из них 4 порта свободные.
Вот думаю, а если на каждый порт сделать свою подсеть и что бы между собой не общались.
мои действия:
на порт ether1 заходит инет с протоколом рррое соединение.
1. IP - Adresses - выставить на каждый порт адресацию
ether2 - 192.168.10.1/24
ether3 - 192.168.11.1/24
ether4 - 192.168.12.1/24
ether5 - 192.168.13.1/24
2. DHCP поднять на них
3. в файерволе дропонуть между собой подсети типа:
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.11.0/24 и т д
получается что 10 подесть не сможет выйти на связь с 11 подсетью и т д на каждый подсеть
И вот вопрос:
1. а как тогда подсети 10,11,12,13 разрешить работать в интернете только с портами 22,80,443,+почтовые,3389
2. маскарад для всех один будет ведь, да?
Спасибо.
Поддержите в этом вопросе, спасибо !
Если что вышлю печеньки.
каждый порт в RB951 отдельная подсеть.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
для этого используются VLANына каждый порт сделать свою подсеть и что бы между собой не общались.
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Изящней будет так.3. в файерволе дропонуть между собой подсети типа:
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.11.0/24 и т д
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward dst-address-list=lan_net src-address-list=lan_netКод: Выделить всё
/ip firewall address-list
add address=192.168.10.0/24 list=lan_net
add address=192.168.11.0/24 list=lan_net
add address=192.168.12.0/24 list=lan_net
add address=192.168.13.0/24 list=lan_netЗачем вам запрещать остальные порты? Дело конечно ваше, но с таким подходом вы очень быстро наткнетесь на ресурс, сервис или что-то еще, что работает со "своим" портом и будете долго и упорно гадать почему оно работает где угодно, только не у вас. Но в целом если портов ровно столько, сколько вы указали, то можно отделаться как то так.И вот вопрос:
1. а как тогда подсети 10,11,12,13 разрешить работать в интернете только с портами 22,80,443,+почтовые,3389
2. маскарад для всех один будет ведь, да?
Код: Выделить всё
/ip firewall filter
add action=accept chain=forward dst-port=22,80,443,3389 out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=22,80,443,3389 out-interface=ether1 protocol=udp
add action=drop chain=forward out-interface=ether1По поводу маскарада да, можно отделаться одним правилом, в котором нужно указать что маскарадится все, что выходит через ether1 и это правило будет работать вообще для всех.
-
Loma64
- Сообщения: 21
- Зарегистрирован: 20 авг 2019, 21:49
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Зачем? Так как предлагает т.с., при текущем кол-ве подсетей, лучший вариант. В момент когда ему понадобится маршрутизация между сетями, да и так, лучше пропускная способность. А с вашим решением скорость одного физического линка будет делиться на все вланы. Плюс при конфиге как у т.с. ему не нужны управляемы коммутаторы, достаточно обычных, "тупых", но только с учетом, что физически клиенты разных подсетей будут так же разделены.
-
Loma64
- Сообщения: 21
- Зарегистрирован: 20 авг 2019, 21:49
ахахаха как в воду глядели)KARaS'b писал(а): ↑30 сен 2019, 16:02
Зачем вам запрещать остальные порты? Дело конечно ваше, но с таким подходом вы очень быстро наткнетесь на ресурс, сервис или что-то еще, что работает со "своим" портом и будете долго и упорно гадать почему оно работает где угодно, только не у вас. Но в целом если портов ровно столько, сколько вы указали, то можно отделаться как то так.
я совсем забыл про NAS в сети под адресом 192.168.12.8, что бы к нему могли попасть мне надо в фаерволе прописать такую строчку и поставить его выше запрета т.е. так:
гдеadd action=accept chain=forward dst-address-list=10 src-address-list=NAS
адрес лист 10 = 192.168.10.1/24
адрес лист NAS = 192.168.12.8
пошла пьянка...,что бы попасть на NAS из вне с определенных ip мне надо в NAT-e прописать строчку типа этого:
где:add action=dst-nat chain=dstnat dst-address=_мой_внешний_ip dst-port=80,443 in-interface=pppoe-out1 log=yes log-prefix="===NAS===" protocol=tcp src-address-list=v_NAS to-addresses=192.168.12.8
_мой_внешний_ip - белый IP адрес
dst-port=80,443 - порты которые следует открыть
in-interface=pppoe-out1 - протокол подключения к интернету на порту etrher 1
src-address-list=v_NAS - список ip адресов которым разрешено подключение к нам из мира
to-addresses=192.168.12.8 - куда перенаправлять
все верно ?