Stránka 1 z 1
Routovanie
Napsal: 30 Dec 2005 12:20
od Millo
Mam 3 ether rozhrania:
Public1 555.555.555.555
Local1 666.666.666.666
Local2 777.777.777.777
Mam nastavene NATko, aby oba local isli na public (klasicke zdielanie internetu).Ako mam nastavit mikrotik aby som sa dostal z local1 na local2 a naopak nie? Skusal som to ale nejde mi to, neviem kde robim chybu.
Dik
Napsal: 30 Dec 2005 23:44
od milankovar
Asi bych to resil firewallem, ne routovanim, tudy cesta nepovede.
Napsal: 04 Jan 2006 18:39
od Millo
njn, skusal som to ale ked zakazem prechod z local 2 na local3,tak automaticky nemam sancu ani len opingovat local2, neviem ako oznacit spojenia vytvorene local3 do local tak aby dostali odpoved z local2..potrebujem z local3 sa dostat do local2 ale naopak nie..
Napsal: 04 Jan 2006 18:50
od milankovar
To je spatne, musi se do src adress dat zdroj do destination cil a do action operaci s paketem
src local3 dst local2 action accept "vse z local3 projde na local2"
src local2 dst local3 action drop "vse z local2 na local3 se zahodi"
Napsal: 04 Jan 2006 19:42
od douby
myslim ze takhle to fungovat nebude, protoze:
vezmeme si napr. pingten se vysle ze subnetu local1 do subnetu local2(
dle navodu projde) a pak na nej reaguje zarizeni v subnetu local2 a posle zpet odpoved na local1(
dle navodu neprojde).
Nejsem si jist, ale v linuxu by se to s iptables takhle chovalo...
a ted prostor pro mou teorii:
znackovat v mangle SPOJENI ktery byly vytvoreny z local1 a sly na local2 a dat jim ACCEPT na obou ifacech. Potom uz jen drop to co jde z local2 na local1....
Tak nejak
Napsal: 04 Jan 2006 20:24
od Jardas
Zatím sem pisatel nenapsal důvod, proč to potřebuje, třeba se to dá vyřešit úplně jinak. Pokud se např. potřebuje dostat z jednoho subnetu do druhého jen z jedné nebo dvou adres, tak si povolím prostup jen těmto adresám (klidně do celého druhého subnetu nebo zas jen na některé adresy) a hotovo.
Protože se jedná samozřejmě vždy o oboustrannou komunikaci (a z prvního subnetu do druhého nebo naopak), nelze jednoduše povolit přístup jen z jedné strany do druhé.
Napsal: 04 Jan 2006 21:17
od skrebon
Millo ked tak sa ozvi, hodim ti demo, nech nebadas moc dlho
znackovat v mangle SPOJENI
nemalo by to byt vo forwarde FW sekcie? V mangle to straca vyznam, pokial sa to nasledne nepouzije ako vychodzi packet mark vo FW nie?
Napsal: 04 Jan 2006 22:53
od douby
skrebon píše:nemalo by to byt vo forwarde FW sekcie? V mangle to straca vyznam, pokial sa to nasledne nepouzije ako vychodzi packet mark vo FW nie?
omarkovat -> pak podle marku acceptovat ve forward a ostatni dropovat. tak jsem to napsal i prvne ne?
mozna by to markovani slo vynechat. Radeji jdu spat, nic nevim, nikomu nerozumim
Napsal: 05 Jan 2006 00:20
od skrebon
douby píše:skrebon píše:nemalo by to byt vo forwarde FW sekcie? V mangle to straca vyznam, pokial sa to nasledne nepouzije ako vychodzi packet mark vo FW nie?
omarkovat -> pak podle marku acceptovat ve forward a ostatni dropovat. tak jsem to napsal i prvne ne?
mozna by to markovani slo vynechat. Radeji jdu spat, nic nevim, nikomu nerozumim
Ja mozno citam medzi riadkami
Len sam som to nepochopil dobre, tak som sa pytal
Napsal: 10 Feb 2006 12:17
od kuba_lysa
V MT jsem newbie, ale na Linuxu bych použil stavovej firewall, MT to snad taky umí, ne?