Jak zakázat přístup z local na některé local na Mikrotik AP?

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod bach1 16. 1. 2018 08:15

Dobrý den mám dotaz, jak by se dalo vyřešit toto:
Mám AP Mikrotik v modu bridge AP a na něm 4 klienty, takže je mám ve vlastní síti
klienti pouzívají rozsah např IP 192.168.20.110-114 - to jsou wany na routerech klientů a má domácí sít má IP adresy 192.168.20.4-100
Router do internetu má IP 192.168.20.1 a web server 192.168.20.2
Potřebuji aby se klienti nedostali na rozsah 192.168.20.4-100 , ale dostali se na ip 192.168.20.1-2
Děkuji za pomoc a příklad, jak to udělat na APčku.

-- 16. 1. 2018 08:55 --

bach1
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 16. 1. 2018 10:30

Zajimavy design site ;-)

Tohle by ti mohlo pomoci: https://wiki.mikrotik.com/wiki/Manual:I ... ket_Filter
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod bach1 16. 1. 2018 17:22

Jelikož v tomto nejsem moc kován potřebuji, zda by mi někdo nenapsal příklad pravidla , jak to na Mikrotik AP v modu Bridge provést? v podstatě potřebuji jen, aby se rozsah IP 192.168.20.110-114 nemohl dostat na 192.168.20.4-100 , ale opačně z celého rozsahu 192.168.20.0/24 na rozsah IP 192.168.20.110-114 ano.
Děkuji za pomoc.
bach1
Kolemjdoucí

Odeslat příspěvekod vladimir 16. 1. 2018 17:55

Nemáš náhodou v síti kromě Mikrotika nějaký switch? To bys pak mohl psát pravidla, jaká chceš, ale switch by to propojil nezávisle na Mikrotiku.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod bach1 16. 1. 2018 18:31

No mám tam switch, ale to by mělo jít asi nějak zafiltrovat na Mikrotiku , který je APčkem v modu bridge.
mám to nějak takto...
Přílohy
sit1.JPG
bach1
Kolemjdoucí

Odeslat příspěvekod vladimir 16. 1. 2018 20:46

Kde je ten webový server? Nějak ho na obrázku nevidím.

Máš zvolený z mého pohledu nevhodný číslovací plán. Asi bych přečísloval ty hosty 192.168.20.110 až 114 třeba na 192.168.20.210-214, tvou domácí síť na 192.168.1.65-126 a pak bys mohl psát jedno pravidlo do filtru
in-interface:wifi-port destiation_address:192.168.20.64:26 action drop
(síť 192.168.20.64:26 doufám zahrnuje adresy 64-127, když tak mě někdo opravte).
To ti samozřejmě zablokuje přístup do těch klientů 20.210-214, pro tvůj přístup bych si na hlavním Mikrotiku vytvořil VPN-server a v případě potřeby si vytočil VPN, nebo vždycky to pravidlo na chvíli deaktivoval.


(Samozřejmě před započetím s experimenty doporučuji udělat zálohy nastavení obou Mikrotiků na HDD a pak když uděláš chybu a nebudeš vědět, jak dál, obnovíš na pár kliků myší nastavení ze zálohy, v nouzi nejvyšší, když by sis do něj sám sobě zakázal přístup, tak ho resetneš do výrobních nastavení.)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod bach1 17. 1. 2018 18:16

web server má IP 192.168.20.2
bach1
Kolemjdoucí

Odeslat příspěvekod soban 17. 1. 2018 19:45

A nebylo by vhodné použít VLANY mikrotiky to umí ne?
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod JirkaVejrazka 17. 1. 2018 20:39

Jak chces pouzit VLANy pri tehle adresaci? Zaslouzilo by to preadresovat, ale i v tomhle stavu se to da resit pomoci bridge firewallu, jak jsme s Vladimirem psali.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod bach1 17. 1. 2018 22:47

Vytvořil jsem address-list klienti (192.168.20.110-114) a domov (192.168.20.3-100)

do filtru dal:
chain=forward src-address-list="klienti" dst-address-list="domov" action=drop

Funguje mi to, ale nedostanu se pak na administraci klientů z domácího rozsahu, co potřebuji, aby to šlo?
bach1
Kolemjdoucí

Odeslat příspěvekod Nargon 17. 1. 2018 22:57

No jak tak koukám na packet flow mikrotiku tak to vypadá že i při použití bridge ten paket prochází skrz forward chain firewallu. https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Jen tedy u toho bridge musíš nastavit use-ip-firewall=yes

Takže pak stačí jen dvě pravidla ve firewallu:
Chain: Forward
Action: Drop
Src.Address: 192.168.20.4-192.168.20.100
Dst.Address: 192.168.20.110-192.168.20.114
A druhé pravidlo stejné, jen tam Src a Dst adresy prohodíš.

Ale nezkoušel jsem to.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod bach1 18. 1. 2018 10:20

No to jsem provedl a funguje to, ale zase se nedostanu z adres domov na administraci klientů i když tám přidám pravidlo accept

add action=accept chain=forward dst-address-list=klienti src-address-list=domov
add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=klienti
bach1
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 18. 1. 2018 11:05

A mas tam pravidlo, ktere propousti "established" spojeni? To je v "normalnim" firewallu defaultne zapnute, ale u FW na bridge si nejsem jisty.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod bach1 18. 1. 2018 12:43

Mám tam pouze tato 2 pravidla v tomto tvaru:

/ip firewall filter
add action=accept chain=forward connection-state=established,related dst-address-list=klienti \
src-address-list=domov
add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=\
klienti
bach1
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 18. 1. 2018 12:53

to je ale spatne, potrebujes:

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=klienti

To druhe pravidlo zabrani otevirani novych spojeni od klientu k tobe. To prvni zajisti, ze kdyz z tve site budes chtit pristoupit do site klienta, tak odpoved z jeho IP zpet k tobe bude povolena.
JirkaVejrazka
Mírně pokročilý

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků