Вот такая задача:
Есть микротик, в нем 2 бриджа и один ван:Это нужно для того, что бы разделить общественную(192.168.36.0/24) и домашнюю сеть(192.168.25.0/24) в небольшой локальной домовой сети. Но так как администратор сети сидит в 192.168.25.0/24 он должен иметь возможность подключатся к общественной сети, в то же время люди с общественной сети не должны получать доступ к домашним устройствам администратора.
1 бридж: 2 и 3 порт (192.168.25.0/24)
2 бридж: 4 и 5 порт (192.168.36.0/24)
ван 1 порт.
У одной сети и у второй есть инет через ван. Нужно сделать что б доступ с 192.168.25.0/24 на 192.168.36.0/24 был, а наоборот не был. Типа так, как будто к микротику во второй бридж подключил роутер и на нем за натом спрятал подсеть.
Для начала нужно занатить две подсети:
/ip firewall natДля общественной сети натятся пакеты только на ван интерфейс. Для локальной - на все интерфейсы.
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
Есть два варианта решения проблемы:
/ip firewall mangleпомечаем пакеты с общественной подсети
chain=prerouting action=mark-connection new-connection-mark=36
passthrough=yes dst-address=192.168.25.0/24 in-interface=bridge2 log=no
log-prefix=""
/ip firewall filterи баним их. И второй вариант проще:
chain=forward action=drop connection-mark=36 log=no log-prefix=""
/ip firewall filterПросто баним все новые пакеты, которые идут с общественной подсети, пакеты установившиеся пропускаем, а все пакеты с домашней подсети считаются установившимися так как прошли через правило ната.
add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24
Подробнее:
Каждое из сетевых соединений Mikrotik относит к одному из 4 состояний:спасибо форуму.
New – Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
Established – Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
Invalid – Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.
|
Подписаться на новые статьи. |
|
Удалось выяснить?
ОтветитьУдалитьДобрый день.
ОтветитьУдалитьМожно все тоже самое только на примере Winbox-а объяснить?
Mikrotik-Ukraine: Доступ Из Одной Подсети В Другую Есть, Наоборот Нет. >>>>> Download Now
ОтветитьУдалить>>>>> Download Full
Mikrotik-Ukraine: Доступ Из Одной Подсети В Другую Есть, Наоборот Нет. >>>>> Download LINK
>>>>> Download Now
Mikrotik-Ukraine: Доступ Из Одной Подсети В Другую Есть, Наоборот Нет. >>>>> Download Full
>>>>> Download LINK
Mikrotik-Ukraine: Доступ Из Одной Подсети В Другую Есть, Наоборот Нет. >>>>> Download Now
ОтветитьУдалить>>>>> Download Full
Mikrotik-Ukraine: Доступ Из Одной Подсети В Другую Есть, Наоборот Нет. >>>>> Download LINK
>>>>> Download Now
Mikrotik-Ukraine: Доступ Из Одной Подсети В Другую Есть, Наоборот Нет. >>>>> Download Full
>>>>> Download LINK 51
Русско Коммунисто) СССР-ДНР-ЛНР
ОтветитьУдалить