Zákaz komunikace mezi VLAN

[skripek]

Ahoj možná blbá otázka,ale nide jsem nenašel jak nastavit toto:
Na portu mám nastavené 2Vlany(např. vlan2 - 192.168.0.1 a vlan3 192.168.1.1 zajímalo by mě jak zakázat kmunikaci mezi nimi.Jestli se to má udělat pomocí pravidla forward, kdy tam vepíšu do src.adress a dst.adress ip adresy subnetu které nesmí mezi s sebou komunikovat, a nebo se dá udělat nějak elegantněji( pokud tam budu mít 24vlanů, tak těch pravidel tam bude moc.

Dík za radu nebo nakopnutí

[hlavva]

Co to je za switch?
Zařízení?

[Noxus28]

v položke out-interface máš možnosť aj "all vlan" čím môžeš jedným pravidlom zahodiť komunikáciu oproti ostatným VLANám ( pre každú sieť zvlášť). Prípadne pred drop pravidlo povoliť trebárs uplink ak ho máš na nejakej VLANe.
alebo povoliť len komunikáciu na uplink a dropovať všetko ostatné vo forwarde, to máš 2 pravidlá (ak tam nemáš inú komunikáciu). alebo address list, možností máš dosť

[skripek]

Jedná se o RB750Gr3 a jednoduchý switch TP-LINK TL-SG108E, nastavil sjem to teď tak, že na chain output jsem out interface nastavil na all vlan a dropnul jsem to, ping mezi vlana a veškerá komunikace mezi vlany nefunguje a net jede

[rsaf]

To je nějaký nesmysl. Chainem output prochází traffic vznikající přímo na tom routeru (tedy např. DNS dotazy z něj, DNS odpovědi klientům, odpovědi webserveru na management...). Provoz mezi dvěma sítěmi prochází chainem forward.

Pokud počítám, že bude na routeru více VLAN a ty se vzájemně nesmí vidět (router pro víc zákazníků), dělám nějak takhle (vše ve fowardu)
vše co jde z jiného iface než WAN a odchází na WAN povol (provoz do internetu)
established, related z WAN na cokoliv jiného než WAN povol (odpovědi z internetu)
drop na vše ostatní (tedy LAN1-LAN2 traffic neprojde)

+nějaké další pravidla (drop bogons, drop invalid...)

[hapi]

chain forward, drop, in-iface all-vlan, out-iface all-vlan

[skripek]

Nyní to mám zkusmo nastaveno takto, provoz mezi vlany nefunguje, internet jede, vlany jsou posazené na ether2, jediné co je povolené tak to je rozsah na kterém je posazený switch a mikrotik



/ip address
add address=192.168.1.1/24 interface="vlan2 - 192.168.1.1/24" network=\
192.168.1.0
add address=192.168.10.1/24 interface="vlan3 - 192.168.10.1/24" network=\
192.168.10.0
add address=192.168.100.1/24 interface="vlan4 - 192.168.100.1/24" network=\
192.168.100.0
add address=1.0.0.1/24 interface=2.LAN network=1.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=1.WAN
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=output out-interface=all-vlan src-address=!192.168.1.1
/ip firewall nat

[ludvik]

Tak nějak mi přijde, že to je špatně, jen to blbě testuješ. Provoz co chceš blokovat prostě chainem output nejde. Howg.

Udělej to standardně:
1. forward, established, related accept
2. forward out-interface WAN accept
3. forward drop.

No a výjimky dáváš mezi 2 a 3.

Případná ochrana routeru samotného je v INPUT chainu, kde to postavíš vlastně stejně. Na první řádek povolíš established,related, pak povolíš přesně to, co chceš vystavit ostatním počítačům a na konci to všechno zakážeš.
Outputu se nedotýkej. Vymyslet pravidla, které tam mají smysl dá práci ... čili 99 % routerů tam nepotřebuje mít nic.