Ahoj,
nasadil som RB2011 ako router do Internetu pre 3 siete a zapasim s defaultnym chovanim RouterOS - ze defaultne routuje medzi vsetkymi sietami.
Ja chcem ale pravy opak - siete od seba izolovat, jedine co budu zdielat je NAT smerom von.
Zatial som to vyriesil pomocou /ip firewall filter medzi tymi interfaces, ale router ich ma 10, ked sa mi pocet sieti rozrastie tak tych pravidiel budem mat milion, nehovoriac o tom, ze ked pridam siet, budem musiet znovu zrevidovat vsetky pravidla firewallu, aby som na nic nezabudol.
Neexistuje nejaka jednoduchsia cesta? Mozno som prehliadol nejaky evidentny detail a staci spravit len jedno pravidlo per interface, ktorym to docielim.
Stracam sa. Diky za nakop.
Dusan
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Izolacia subnetov
0 x
Zjednodušeně: prostě povol jen to, co jde pryč přes wan rozhraní. Jen jedno pravidlo to v podstatě je ...
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward out-interface=wan action=accept
add chain=forward action=drop
Tímhle máš povolen jen přístup zevnitř ven a ne mezi subnety.
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward out-interface=wan action=accept
add chain=forward action=drop
Tímhle máš povolen jen přístup zevnitř ven a ne mezi subnety.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
.