Firewall v rámci jedné lokální síťě

[papadopulos]

Zdravím, potřebuji poradit, jak vyřešit blokaci provozu pomocí firewalu v rámci jedné lokální sítě. Jedna síť (viz. obrázek), kde jednotlivé zařízení mezi sebou normálně komunikují. Z jednoho zařízení v levé části (například s IP ...13) potřebuji blokovat komunikaci se zařízením ...15 v pravé části schématu. Zařízení s IP ...13 ale musí komunikovat s IP ...14. Můžete prosím poradit? Spojil jsem rozhraní ETH1 do BRIDGE1 a rozhraní ETH2 do BRIDGE2, ale nemůžu přijít na to, jak správně definovat pravidla.
(pokud je vůbec tato myšlenka správná)

[Tirus]

Nevím zda to jde nějak čistěji, ale já bych udělal to, že bych to rozdělil na 2 subnety a přidal do Firewallu drop pravidlo, ale nad něj vydefinoval pravidla, které jsou povolené.

ETH1 by mělo např. 192.168.1.0/24
ETH2 by mělo např. 192.168.2.0/24

Bylo by pravidlo

source 192.168.1.13 dest 192.168.2.14 accept
source 192.168.1.0/24 dest 192.168.2.0/24 drop
source 192.168.2.0/24 dest 192.168.1.0/24 drop

[papadopulos]

Bohužel síť rozdělit nelze. Musí to zůstat jeden segment.

[cerva]

Pak ti zbyvaji asi jen dve moznosti:
1) firewall na jednotlivych strojich
2) L2 firewall na urovni bridge

Tak jako tak to není zcela šikovný návrh adresace

[Selič]

Ano jde to udělat na bridge, ale z těch pravidel se zblázníš.
Předpokládám že ETH1 a ETH2 jsou přidané na mikrotiku do bridge.
V bridge/setting zaškrtni "Use IP firewall"
Pak přidávej pravidla do firewall/forward asi stylem jako předchozí příspěvek:
forward
source 192.168.1.13 dest 192.168.1.14 accept (povolit komunikaci)
source 192.168.1.14 dest 192.168.1.13 accept (povolit komunikaci opacným směrem, mělo by to jít i jedním pravidlem, kde se zvolí vlastnost established a related, ale na bridge jsem to nikdy nezkousel)
source 192.168.1.0/24 dest 192.168.1.0/24 drop

možná by bylo vhodé ještě prostudovat parametry established a related - tím by se to při větším množství pravidel dalo urychlit.

[papadopulos]

Vyzkoušel jsem tedy ten L2 firewall na bridge. Funguje to už jak jsem potřeboval. Jen mě mate jedna věc. Když se staví pravidla mezi nekolika různými sítěmi, firewall se tvoří stylem, nejdřív povolení provozu a úplně nakonec blokace (drop). Pokud neexistuje pravidlo, paket neprojde. Na tom L2 firewallu v bridge je to však jinak. Když neudělám žádné pravidla, pakety prochází. Musel jsem tedy udělat pravidla, která požadovaný provoz DROPnula. Je to tak správně?

díky

[mirek.k]

Je třeba udělat hlavní rozhodnuti o koncepci.
Buď vše povolit a blokovat vybrané - pak na konci chainu není nic.
Nebo povolit vybrané a jinak vše blokovat - pak na konci chainu musí být drop.
Mirek

[papadopulos]

Nepřesně jsem se vyjádřil. Myslel jsem rozdíl mezi temito způsoby:

1. několik "různých" sítí, jejich spojení přes několik bridge pomocí filtrů (/ip firewall filters) a následné masquerade (/ip firewall nat)
vs.
2. jedna jediná síť, všechny fyzické porty mikrotiku spojené přes jeden bridge s povoleným L2 firewallem (/interface bridge settings set use-ip-firewall=yes) a pravidla definovanými v sekci (/interface bridge filter)
V prvním případě, pokud neaktivuji žádné pravidlo, žádný paket neprojde. Takže se musí definovat na prvním místě pravidla, která požadovanou komunikaci povolí.
Ve druhém případě, pokud neauktivuji žádné pravidlo, všechny pakety projdou, musím tedy definovat jako první ty pravidla, která požadovaný provoz dropnou.

[ludvik]

Netfilter lze nastavit, aby bylo policy DROP - tedy aby pakety co projdou až na konec zahazoval. Jenže v mikrotiku to nastavit nelze, tam je vždy policy ACCEPT. Tedy je-li filter prázdný, paket projde. Nezabere-li ani jedno pravidlo, paket projde.

Mimochodem filter filtruje, nic nespojuje.