пятница, 30 октября 2015 г.

Доступ из одной подсети в другую есть, наоборот нет.

  Вот такая задача:
Есть микротик, в нем 2 бриджа и один ван:
1 бридж: 2 и 3 порт (192.168.25.0/24)
2 бридж: 4 и 5 порт (192.168.36.0/24)
ван 1 порт.
У одной сети и у второй есть инет через ван. Нужно сделать что б доступ с 192.168.25.0/24 на 192.168.36.0/24 был, а наоборот не был. Типа так, как будто к микротику во второй бридж подключил роутер и на нем за натом спрятал подсеть.
  Это нужно для того, что бы разделить общественную(192.168.36.0/24) и домашнюю сеть(192.168.25.0/24) в небольшой локальной домовой сети.  Но так как администратор сети сидит в 192.168.25.0/24 он должен иметь возможность подключатся к общественной сети, в то же время люди с общественной сети не должны получать доступ к домашним устройствам администратора.

  Для начала нужно занатить две подсети:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
  Для общественной сети натятся пакеты только на ван интерфейс. Для локальной - на все интерфейсы.
  Есть два варианта решения проблемы:
/ip firewall mangle
chain=prerouting action=mark-connection new-connection-mark=36
      passthrough=yes dst-address=192.168.25.0/24 in-interface=bridge2 log=no
      log-prefix=""
помечаем пакеты с общественной подсети

/ip firewall filter
chain=forward action=drop connection-mark=36 log=no log-prefix=""
и баним их. И второй вариант проще:
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24 
  Просто баним все новые пакеты, которые идут с общественной подсети, пакеты установившиеся пропускаем, а все пакеты с домашней подсети считаются установившимися так как прошли через правило ната.
  Подробнее:
  Каждое из сетевых соединений Mikrotik относит к одному из 4 состояний:
New – Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
Established – Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
Invalid – Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.
спасибо форуму

Подписаться на новые статьи.

Комментариев нет:

Отправить комментарий