Dobrý den,
potřeboval bych kvalifikovaný názor na řešení oddělení dvou samostatných podsítí na jednom MK na RB 2011.
port 1 -> GW na internet - veřejná IP
port 2-4 -> bridge1 - IP 192.168.1.0/24
port5-10 -> bridge 2 IP 192.68.2.0./24
Napadají mně 3 řešení:
Buď udělat pravidla na filtru nad bridges
nebo udělat použít mangle na provoz mezi jednotlivými adresovými rozsahy a příslušně markované packety dropovat
a nebo udělat pravidla nad routovací tabulkou a zakázat vzájemné routování mezi 192.168.1.0/24 a 192.168.2.0/24.
Jde mi o co nejjednodušší řešení, které bude vyžadovat co nejmenší režii. Cílený útok směrem zevnitř mezi jednotlivými bridge či podvrhování MAC adres neuvažuji, jde jenom o preventivní opatření.
Váš názor prosím?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Oddělení dvou podsítí
Nestačí pouze dropnout komunikace mezi 1.0/24 a 2.0/24 a opačně?
2 řádky ve firewallu.
2 řádky ve firewallu.
Naposledy upravil(a) ssnakess dne 05 Dec 2014 14:04, celkem upraveno 1 x.
0 x
Proč se drbat levou rukou pod pravou nohou, když můžu použít pravou?
Stačí přeci zakázat vše ala: src=prvni_sit dst=druha_sit ... a obráceně taky. Ve filter tabulce.
Mimochodem potřebuješ ten bridge? Udělej z toho switche. Zbytečně se připravuješ o výkon.
Stačí přeci zakázat vše ala: src=prvni_sit dst=druha_sit ... a obráceně taky. Ve filter tabulce.
Mimochodem potřebuješ ten bridge? Udělej z toho switche. Zbytečně se připravuješ o výkon.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
OK. Děkuji za názor.
Nebudu vymýšlet složitosti, udělám to jednoduše.
Díky za názor
Nebudu vymýšlet složitosti, udělám to jednoduše.
Díky za názor
0 x
Jde to i jedním řádkem ...
/ip firewall filter
add action=drop chain=forward in-interface=!wan out-interface=!wan
/ip firewall filter
add action=drop chain=forward in-interface=!wan out-interface=!wan
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.