Russian Users MikroTik | Форум пользователей MikroTik

SergeyZ писал(а): ↑28 сен 2018, 22:40 Пыль.. До тех пор, пока не появится куча правил маркировки и фильтрации..
Группы вы сделаете только на коммутаторе, к которому будете подключать клиентов.
Почему?
Да потому что внутри одной сети ваши пользователи, которые сидят на одном коммутаторе, плевать хотели на правила фаервола, так как в первую очередь пакеты полетят в соответствии с ARP-таблицей самого коммутатора, который знает какое устройство на каком порту и не гоняет пакеты через маршрутизатор.
Далее все зависит от коммутатора. Если он управляемый, то на нем уже можно настраивать кто куда. Но при этом в любом случае правильнее делать вланы или вланы во влане.
Не нужно усложнять. Делайте вланы. Нужно 100 вланов - делайте 100. Нужно 1000... Ну вы поняли.
Вланы через пол года-год будут намного проще в понимании при попытке разобраться в том, что там намудрено. А куча правил в фаерволе и на коммутаторах при возможном более простом решении - зло.

Но это мое мнение. Мне всегда хочется руки оторвать всем, кто усложняет сеть кучей ненужных правил, которые потом фиг поймешь из-за слишком большого количества.

Вы поймите одно: когда через длительный период вас попросят что-то поменять или потребуется что-то добавить, вы будете волосы рвать из-за крайне большого количества правил. А те же вланы замечательно рисуются на бумажке и всегда легко можно восстановить картину сети.

lorddemon писал(а): ↑28 сен 2018, 23:11 вопрос прост есть влан и в нем надо запретить общение компов между собой.... за тупым свичем

SergeyZ писал(а): ↑29 сен 2018, 00:07 Внутри одного неуправляемого коммутатора или ненастроенного управляемого коммутатора есть ARP таблица.
Когда пакет от клиента попадает в коммутатор, он в первую очередь смотрит заголовок, в котором четко обозначено куда этот пакет летит.
Далее адресат ищется в ARP-таблице. Если адресат в ней находится, то коммутатор посылает пакет туда.
Ему целиком и полностью параллельно на правила фаервола в маршрутизаторе. Он шлет пакеты в соответствии со своими внутренними правилами и в соответствии с таблицей ARP.
Вы хоть с бубном вокруг него пляшите, но ему будет плевать на маршрутизатор.
В данном случае либо настройка вланов, либо настройка коммутатора. И вот по настройке коммутатора в данной ситуации не подскажу, ибо даже не знаю какой у вас коммутатор, да и такие настройки больше для провайдера, чтобы блокировать общение между клиентов.
В некоторых (а может и во всех) управляемых коммутаторах, как я помню, есть возможность осуществить подобное.
Но уясните, коммутатору без должных настроек самого коммутатора абсолютно наплевать на правила микротика при пересылке пакетов от клиента до клиента в пределах одного влана. Только сам коммутатор может изолировать порт (именно порт, не клиентов).
На том же TP-Link TL-SG3424P есть Port Isolation, который лишь изолирует в пределах порта и предоставляет настройку по доступу клиентов этого порта к другому физическому порту. Ито, там это лишь некий аналог VLAN.

lorddemon писал(а): ↑29 сен 2018, 09:58 TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?

как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?

lorddemon писал(а): ↑29 сен 2018, 09:58 TP-Link TL-SF1024, Switch 24-port 10/100Mbit, 19"
неуправляемый свич 24 порта
хотите сказать что в этом случае никак не запретить общение между компами подключенными к свичу?

lorddemon писал(а): ↑29 сен 2018, 09:58 как вариант только вбивать все мак адреса компов и распределить их в несколько вланов?
и они будут видеть друг друга только внутри своего влана даже если подключены в один свич?

lorddemon писал(а): ↑29 сен 2018, 11:38 а сделать неколько вланов на одном порту и фиксировать ИП по МАК чтоб одни входили в один влан а другие в другой ...?
будут иметь разные группы ИП ....?
так тоже не получится?