Zákaz komunikace mezi VLAN

Místo, kde žádná otázka není hloupá.
skripek
Příspěvky: 12
Registrován: 4 years ago

Zákaz komunikace mezi VLAN

Příspěvekod skripek » 6 months ago

Ahoj možná blbá otázka,ale nide jsem nenašel jak nastavit toto:
Na portu mám nastavené 2Vlany(např. vlan2 - 192.168.0.1 a vlan3 192.168.1.1 zajímalo by mě jak zakázat kmunikaci mezi nimi.Jestli se to má udělat pomocí pravidla forward, kdy tam vepíšu do src.adress a dst.adress ip adresy subnetu které nesmí mezi s sebou komunikovat, a nebo se dá udělat nějak elegantněji( pokud tam budu mít 24vlanů, tak těch pravidel tam bude moc.

Dík za radu nebo nakopnutí
0 x

hlavva
Příspěvky: 89
Registrován: 3 years ago

Příspěvekod hlavva » 6 months ago

Co to je za switch?
Zařízení?
0 x

Noxus28
Příspěvky: 294
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

v položke out-interface máš možnosť aj "all vlan" čím môžeš jedným pravidlom zahodiť komunikáciu oproti ostatným VLANám ( pre každú sieť zvlášť). Prípadne pred drop pravidlo povoliť trebárs uplink ak ho máš na nejakej VLANe.
alebo povoliť len komunikáciu na uplink a dropovať všetko ostatné vo forwarde, to máš 2 pravidlá (ak tam nemáš inú komunikáciu). alebo address list, možností máš dosť
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

skripek
Příspěvky: 12
Registrován: 4 years ago

Příspěvekod skripek » 6 months ago

Jedná se o RB750Gr3 a jednoduchý switch TP-LINK TL-SG108E, nastavil sjem to teď tak, že na chain output jsem out interface nastavil na all vlan a dropnul jsem to, ping mezi vlana a veškerá komunikace mezi vlany nefunguje a net jede :-)
0 x

rsaf
Příspěvky: 670
Registrován: 11 years ago

Příspěvekod rsaf » 6 months ago

To je nějaký nesmysl. Chainem output prochází traffic vznikající přímo na tom routeru (tedy např. DNS dotazy z něj, DNS odpovědi klientům, odpovědi webserveru na management...). Provoz mezi dvěma sítěmi prochází chainem forward.

Pokud počítám, že bude na routeru více VLAN a ty se vzájemně nesmí vidět (router pro víc zákazníků), dělám nějak takhle (vše ve fowardu)
vše co jde z jiného iface než WAN a odchází na WAN povol (provoz do internetu)
established, related z WAN na cokoliv jiného než WAN povol (odpovědi z internetu)
drop na vše ostatní (tedy LAN1-LAN2 traffic neprojde)

+nějaké další pravidla (drop bogons, drop invalid...)
0 x

Uživatelský avatar
hapi
Příspěvky: 11360
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 6 months ago

chain forward, drop, in-iface all-vlan, out-iface all-vlan
0 x

skripek
Příspěvky: 12
Registrován: 4 years ago

Příspěvekod skripek » 6 months ago

Nyní to mám zkusmo nastaveno takto, provoz mezi vlany nefunguje, internet jede, vlany jsou posazené na ether2, jediné co je povolené tak to je rozsah na kterém je posazený switch a mikrotik



/ip address
add address=192.168.1.1/24 interface="vlan2 - 192.168.1.1/24" network=\
192.168.1.0
add address=192.168.10.1/24 interface="vlan3 - 192.168.10.1/24" network=\
192.168.10.0
add address=192.168.100.1/24 interface="vlan4 - 192.168.100.1/24" network=\
192.168.100.0
add address=1.0.0.1/24 interface=2.LAN network=1.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=1.WAN
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=output out-interface=all-vlan src-address=!192.168.1.1
/ip firewall nat
0 x

ludvik
Příspěvky: 3830
Registrován: 7 years ago

Příspěvekod ludvik » 6 months ago

Tak nějak mi přijde, že to je špatně, jen to blbě testuješ. Provoz co chceš blokovat prostě chainem output nejde. Howg.

Udělej to standardně:
1. forward, established, related accept
2. forward out-interface WAN accept
3. forward drop.

No a výjimky dáváš mezi 2 a 3.

Případná ochrana routeru samotného je v INPUT chainu, kde to postavíš vlastně stejně. Na první řádek povolíš established,related, pak povolíš přesně to, co chceš vystavit ostatním počítačům a na konci to všechno zakážeš.
Outputu se nedotýkej. Vymyslet pravidla, které tam mají smysl dá práci ... čili 99 % routerů tam nepotřebuje mít nic.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti