Zabezpečením mezi rozsahy

[legolas]

Dobrý den,

chtěl bych vás požádat o radu s nastavením zabezpečením mikrotiku.

192.168.16.75 - wan
10.10.10.1/24 - free
10.10.20.1/24 - ověření uživatelé

Síť obsluhuje hlavní router, za kterým je několik switchů, v nich jsou uživatelé a také WiFi AP.

Ověření uživatelé mají přidělovanou ip pomocí dhcp serveru vázanou na mac adresu, rovněž ve firewalu svázanou ip s mac.

Jde mi o to aby uživatele z free rozsahu neviděli do ověřených uživatelů.
Rovněž, když si uživatel z free rozsahu zadá ip adresu z rozsahu ověřených uživatelů ručně, aby byl odmítnut a nemohl vidět nic v tomto rozsahu.

Předem děkuji za odpověď

[mirek.k]

Pokud jde mix uživatelů přes switche, tak je na zvážení použití VLAN.
Musí je ale umět používat i ty switche.
Pokud jsou to switche "hloupé", oddělení bude problematické.

[iTomB]

Par dni zpet se to tu resilo taky ...

Jinak hodne vhodne pro tebe.

[Noxus28]

dobrý deň

u free môžeš použiť pravidlo ktoré ich komunikáciu pustí iba do vonkajšieho interface nikde inde.

Kód: Vybrat vše

ip firewall filter add chain=forward src-address=10.10.10.1/24 out-interface=!"tvoj,wan,interface"  action=drop

u overených píšeš že máš ich IP vo firewall už zadané tak len dropni ten zvyšok aby ho nemohli použiť alebo ak sú tam použité dva DHCP na dvoch interfaceoch použiť arp=reply only

[legolas]

Děkuji za odpověď, někde jsou chytré a někde hloupé switche když nastavím v arpu adresy ověřených uživatelů a zapnu reply-only v bridge, rázem uživatelé z free rozsahu se nepřipojí.

[Noxus28]

musel by si to mať rozdelené na 2 interface a 2 dhcp aby si pre overených mohol použiť reply only

[legolas]

Děkuji, vyzkouším

[rsaf]

Rozhodně VLANy. Při dnešních cenách managovatelných switchů by snad nemusel být problém to udělat pořádně. Pravidla na Mikrotiku možná zabrání komunikaci do internetu ale už nezabrání tomu, aby FREE uživatel s ukradenou IP adresou komunikoval přímo z PCčky "autorizovaných" uživatelů.