Ahoj možná blbá otázka,ale nide jsem nenašel jak nastavit toto:
Na portu mám nastavené 2Vlany(např. vlan2 - 192.168.0.1 a vlan3 192.168.1.1 zajímalo by mě jak zakázat kmunikaci mezi nimi.Jestli se to má udělat pomocí pravidla forward, kdy tam vepíšu do src.adress a dst.adress ip adresy subnetu které nesmí mezi s sebou komunikovat, a nebo se dá udělat nějak elegantněji( pokud tam budu mít 24vlanů, tak těch pravidel tam bude moc.
Dík za radu nebo nakopnutí
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Zákaz komunikace mezi VLAN
v položke out-interface máš možnosť aj "all vlan" čím môžeš jedným pravidlom zahodiť komunikáciu oproti ostatným VLANám ( pre každú sieť zvlášť). Prípadne pred drop pravidlo povoliť trebárs uplink ak ho máš na nejakej VLANe.
alebo povoliť len komunikáciu na uplink a dropovať všetko ostatné vo forwarde, to máš 2 pravidlá (ak tam nemáš inú komunikáciu). alebo address list, možností máš dosť
alebo povoliť len komunikáciu na uplink a dropovať všetko ostatné vo forwarde, to máš 2 pravidlá (ak tam nemáš inú komunikáciu). alebo address list, možností máš dosť
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Jedná se o RB750Gr3 a jednoduchý switch TP-LINK TL-SG108E, nastavil sjem to teď tak, že na chain output jsem out interface nastavil na all vlan a dropnul jsem to, ping mezi vlana a veškerá komunikace mezi vlany nefunguje a net jede
0 x
To je nějaký nesmysl. Chainem output prochází traffic vznikající přímo na tom routeru (tedy např. DNS dotazy z něj, DNS odpovědi klientům, odpovědi webserveru na management...). Provoz mezi dvěma sítěmi prochází chainem forward.
Pokud počítám, že bude na routeru více VLAN a ty se vzájemně nesmí vidět (router pro víc zákazníků), dělám nějak takhle (vše ve fowardu)
vše co jde z jiného iface než WAN a odchází na WAN povol (provoz do internetu)
established, related z WAN na cokoliv jiného než WAN povol (odpovědi z internetu)
drop na vše ostatní (tedy LAN1-LAN2 traffic neprojde)
+nějaké další pravidla (drop bogons, drop invalid...)
Pokud počítám, že bude na routeru více VLAN a ty se vzájemně nesmí vidět (router pro víc zákazníků), dělám nějak takhle (vše ve fowardu)
vše co jde z jiného iface než WAN a odchází na WAN povol (provoz do internetu)
established, related z WAN na cokoliv jiného než WAN povol (odpovědi z internetu)
drop na vše ostatní (tedy LAN1-LAN2 traffic neprojde)
+nějaké další pravidla (drop bogons, drop invalid...)
0 x
chain forward, drop, in-iface all-vlan, out-iface all-vlan
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Nyní to mám zkusmo nastaveno takto, provoz mezi vlany nefunguje, internet jede, vlany jsou posazené na ether2, jediné co je povolené tak to je rozsah na kterém je posazený switch a mikrotik
/ip address
add address=192.168.1.1/24 interface="vlan2 - 192.168.1.1/24" network=\
192.168.1.0
add address=192.168.10.1/24 interface="vlan3 - 192.168.10.1/24" network=\
192.168.10.0
add address=192.168.100.1/24 interface="vlan4 - 192.168.100.1/24" network=\
192.168.100.0
add address=1.0.0.1/24 interface=2.LAN network=1.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=1.WAN
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=output out-interface=all-vlan src-address=!192.168.1.1
/ip firewall nat
/ip address
add address=192.168.1.1/24 interface="vlan2 - 192.168.1.1/24" network=\
192.168.1.0
add address=192.168.10.1/24 interface="vlan3 - 192.168.10.1/24" network=\
192.168.10.0
add address=192.168.100.1/24 interface="vlan4 - 192.168.100.1/24" network=\
192.168.100.0
add address=1.0.0.1/24 interface=2.LAN network=1.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=1.WAN
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=output out-interface=all-vlan src-address=!192.168.1.1
/ip firewall nat
0 x
Tak nějak mi přijde, že to je špatně, jen to blbě testuješ. Provoz co chceš blokovat prostě chainem output nejde. Howg.
Udělej to standardně:
1. forward, established, related accept
2. forward out-interface WAN accept
3. forward drop.
No a výjimky dáváš mezi 2 a 3.
Případná ochrana routeru samotného je v INPUT chainu, kde to postavíš vlastně stejně. Na první řádek povolíš established,related, pak povolíš přesně to, co chceš vystavit ostatním počítačům a na konci to všechno zakážeš.
Outputu se nedotýkej. Vymyslet pravidla, které tam mají smysl dá práci ... čili 99 % routerů tam nepotřebuje mít nic.
Udělej to standardně:
1. forward, established, related accept
2. forward out-interface WAN accept
3. forward drop.
No a výjimky dáváš mezi 2 a 3.
Případná ochrana routeru samotného je v INPUT chainu, kde to postavíš vlastně stejně. Na první řádek povolíš established,related, pak povolíš přesně to, co chceš vystavit ostatním počítačům a na konci to všechno zakážeš.
Outputu se nedotýkej. Vymyslet pravidla, které tam mají smysl dá práci ... čili 99 % routerů tam nepotřebuje mít nic.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.