Страница 1 из 1
каждый порт в RB951 отдельная подсеть.
Добавлено: 30 сен 2019, 13:25
Loma64
Здравствует !
Я купил Mikrotik RB951 и осознавал, что будет тяжело, но за СТАБИЛЬНОСТЬ надо платить.
Друзья появилась идея такая:
Имеется Mikrotik RB951 и из них 4 порта свободные.
Вот думаю, а если на каждый порт сделать свою подсеть и что бы между собой не общались.
мои действия:
на порт ether1 заходит инет с протоколом рррое соединение.
1. IP - Adresses - выставить на каждый порт адресацию
ether2 - 192.168.10.1/24
ether3 - 192.168.11.1/24
ether4 - 192.168.12.1/24
ether5 - 192.168.13.1/24
2. DHCP поднять на них
3. в файерволе дропонуть между собой подсети типа:
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.11.0/24 и т д
получается что 10 подесть не сможет выйти на связь с 11 подсетью и т д на каждый подсеть
И вот вопрос:
1. а как тогда подсети 10,11,12,13 разрешить работать в интернете только с портами 22,80,443,+почтовые,3389
2. маскарад для всех один будет ведь, да?
Спасибо.
Поддержите в этом вопросе, спасибо !
Если что вышлю печеньки.
Re: каждый порт в RB951 отдельная подсеть.
Добавлено: 30 сен 2019, 15:52
Kato
на каждый порт сделать свою подсеть и что бы между собой не общались.
для этого используются VLANы
Re: каждый порт в RB951 отдельная подсеть.
Добавлено: 30 сен 2019, 16:02
KARaS'b
3. в файерволе дропонуть между собой подсети типа:
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.11.0/24 и т д
Изящней будет так.
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward dst-address-list=lan_net src-address-list=lan_net
где
Код: Выделить всё
/ip firewall address-list
add address=192.168.10.0/24 list=lan_net
add address=192.168.11.0/24 list=lan_net
add address=192.168.12.0/24 list=lan_net
add address=192.168.13.0/24 list=lan_net
Такой конструкцией вы отделаетесь всего одним правилом вместо кучи.
И вот вопрос:
1. а как тогда подсети 10,11,12,13 разрешить работать в интернете только с портами 22,80,443,+почтовые,3389
2. маскарад для всех один будет ведь, да?
Зачем вам запрещать остальные порты? Дело конечно ваше, но с таким подходом вы очень быстро наткнетесь на ресурс, сервис или что-то еще, что работает со "своим" портом и будете долго и упорно гадать почему оно работает где угодно, только не у вас. Но в целом если портов ровно столько, сколько вы указали, то можно отделаться как то так.
Код: Выделить всё
/ip firewall filter
add action=accept chain=forward dst-port=22,80,443,3389 out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=22,80,443,3389 out-interface=ether1 protocol=udp
add action=drop chain=forward out-interface=ether1
Но повторюсь, решение так себе, чрезмерное "бздение" к хорошему не приведет, возможно будете потом искать решение проблемы которой и быть не должно было.
По поводу маскарада да, можно отделаться одним правилом, в котором нужно указать что маскарадится все, что выходит через ether1 и это правило будет работать вообще для всех.
Re: каждый порт в RB951 отдельная подсеть.
Добавлено: 30 сен 2019, 16:09
Loma64
Kato писал(а): ↑30 сен 2019, 15:52
на каждый порт сделать свою подсеть и что бы между собой не общались.
для этого используются VLANы
ну для этого потребуется умный коммутатор который сможет считать теги vlan-ов
или вы имеете ввиду без тегов vlan-ы создать?
Re: каждый порт в RB951 отдельная подсеть.
Добавлено: 30 сен 2019, 16:42
KARaS'b
Kato писал(а): ↑30 сен 2019, 15:52
на каждый порт сделать свою подсеть и что бы между собой не общались.
для этого используются VLANы
Зачем? Так как предлагает т.с., при текущем кол-ве подсетей, лучший вариант. В момент когда ему понадобится маршрутизация между сетями, да и так, лучше пропускная способность. А с вашим решением скорость одного физического линка будет делиться на все вланы. Плюс при конфиге как у т.с. ему не нужны управляемы коммутаторы, достаточно обычных, "тупых", но только с учетом, что физически клиенты разных подсетей будут так же разделены.
Re: каждый порт в RB951 отдельная подсеть.
Добавлено: 01 окт 2019, 07:16
Loma64
KARaS'b писал(а): ↑30 сен 2019, 16:02
Зачем вам запрещать остальные порты? Дело конечно ваше, но с таким подходом вы очень быстро наткнетесь на ресурс, сервис или что-то еще, что работает со "своим" портом и будете долго и упорно гадать почему оно работает где угодно, только не у вас. Но в целом если портов ровно столько, сколько вы указали, то можно отделаться как то так.
ахахаха как в воду глядели)
я совсем забыл про NAS в сети под адресом 192.168.12.8, что бы к нему могли попасть мне надо в фаерволе прописать такую строчку и поставить его выше запрета т.е. так:
add action=accept chain=forward dst-address-list=10 src-address-list=NAS
где
адрес лист 10 = 192.168.10.1/24
адрес лист NAS = 192.168.12.8
пошла пьянка...,что бы попасть на NAS из вне с определенных ip мне надо в NAT-e прописать строчку типа этого:
add action=dst-nat chain=dstnat dst-address=_мой_внешний_ip dst-port=80,443 in-interface=pppoe-out1 log=yes log-prefix="===NAS===" protocol=tcp src-address-list=v_NAS to-addresses=192.168.12.8
где:
_мой_внешний_ip - белый IP адрес
dst-port=80,443 - порты которые следует открыть
in-interface=pppoe-out1 - протокол подключения к интернету на порту etrher 1
src-address-list=v_NAS - список ip адресов которым разрешено подключение к нам из мира
to-addresses=192.168.12.8 - куда перенаправлять
все верно ?