Živě.cz |
Přihlásit se |
Superfórum » Obsah fóra » Sítě a Internet » Struktura sítí: aktivní a pasivní prvky |
Další stránka |
Jak zakázat přístup z local na některé local na Mikrotik AP? |
---|
bach1 - Kolemjdoucí |
16. 1. 2018 07:15 |
Dobrý den mám dotaz, jak by se dalo vyřešit toto:
Mám AP Mikrotik v modu bridge AP a na něm 4 klienty, takže je mám ve vlastní síti klienti pouzívají rozsah např IP 192.168.20.110-114 - to jsou wany na routerech klientů a má domácí sít má IP adresy 192.168.20.4-100 Router do internetu má IP 192.168.20.1 a web server 192.168.20.2 Potřebuji aby se klienti nedostali na rozsah 192.168.20.4-100 , ale dostali se na ip 192.168.20.1-2 Děkuji za pomoc a příklad, jak to udělat na APčku. -- 16. 1. 2018 08:55 -- |
Poslední příspěvek |
JirkaVejrazka - Mírně pokročilý |
16. 1. 2018 09:30 |
Zajimavy design site
Tohle by ti mohlo pomoci: https://wiki.mikrotik.com/wiki/Manual:I ... ket_Filter |
bach1 - Kolemjdoucí |
16. 1. 2018 16:22 |
Jelikož v tomto nejsem moc kován potřebuji, zda by mi někdo nenapsal příklad pravidla , jak to na Mikrotik AP v modu Bridge provést? v podstatě potřebuji jen, aby se rozsah IP 192.168.20.110-114 nemohl dostat na 192.168.20.4-100 , ale opačně z celého rozsahu 192.168.20.0/24 na rozsah IP 192.168.20.110-114 ano.
Děkuji za pomoc. |
vladimir - Expert |
16. 1. 2018 16:55 |
Nemáš náhodou v síti kromě Mikrotika nějaký switch? To bys pak mohl psát pravidla, jaká chceš, ale switch by to propojil nezávisle na Mikrotiku.
|
bach1 - Kolemjdoucí |
16. 1. 2018 17:31 |
No mám tam switch, ale to by mělo jít asi nějak zafiltrovat na Mikrotiku , který je APčkem v modu bridge.
mám to nějak takto... |
Přílohy |
sit1.JPG [ 43.98 | Zobrazeno 297 krát ] |
vladimir - Expert |
16. 1. 2018 19:46 |
Kde je ten webový server? Nějak ho na obrázku nevidím.
Máš zvolený z mého pohledu nevhodný číslovací plán. Asi bych přečísloval ty hosty 192.168.20.110 až 114 třeba na 192.168.20.210-214, tvou domácí síť na 192.168.1.65-126 a pak bys mohl psát jedno pravidlo do filtru in-interface:wifi-port destiation_address:192.168.20.64:26 action drop (síť 192.168.20.64:26 doufám zahrnuje adresy 64-127, když tak mě někdo opravte). To ti samozřejmě zablokuje přístup do těch klientů 20.210-214, pro tvůj přístup bych si na hlavním Mikrotiku vytvořil VPN-server a v případě potřeby si vytočil VPN, nebo vždycky to pravidlo na chvíli deaktivoval. (Samozřejmě před započetím s experimenty doporučuji udělat zálohy nastavení obou Mikrotiků na HDD a pak když uděláš chybu a nebudeš vědět, jak dál, obnovíš na pár kliků myší nastavení ze zálohy, v nouzi nejvyšší, když by sis do něj sám sobě zakázal přístup, tak ho resetneš do výrobních nastavení.) |
bach1 - Kolemjdoucí |
17. 1. 2018 17:16 |
web server má IP 192.168.20.2
|
soban - Pokročilý |
17. 1. 2018 18:45 |
A nebylo by vhodné použít VLANY mikrotiky to umí ne?
|
JirkaVejrazka - Mírně pokročilý |
17. 1. 2018 19:39 |
Jak chces pouzit VLANy pri tehle adresaci? Zaslouzilo by to preadresovat, ale i v tomhle stavu se to da resit pomoci bridge firewallu, jak jsme s Vladimirem psali.
|
bach1 - Kolemjdoucí |
17. 1. 2018 21:47 |
Vytvořil jsem address-list klienti (192.168.20.110-114) a domov (192.168.20.3-100)
do filtru dal: chain=forward src-address-list="klienti" dst-address-list="domov" action=drop Funguje mi to, ale nedostanu se pak na administraci klientů z domácího rozsahu, co potřebuji, aby to šlo? |
Nargon - Moderátor |
17. 1. 2018 21:57 |
No jak tak koukám na packet flow mikrotiku tak to vypadá že i při použití bridge ten paket prochází skrz forward chain firewallu. https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Jen tedy u toho bridge musíš nastavit use-ip-firewall=yes Takže pak stačí jen dvě pravidla ve firewallu: Chain: Forward Action: Drop Src.Address: 192.168.20.4-192.168.20.100 Dst.Address: 192.168.20.110-192.168.20.114 A druhé pravidlo stejné, jen tam Src a Dst adresy prohodíš. Ale nezkoušel jsem to. |
bach1 - Kolemjdoucí |
18. 1. 2018 09:20 |
No to jsem provedl a funguje to, ale zase se nedostanu z adres domov na administraci klientů i když tám přidám pravidlo accept
add action=accept chain=forward dst-address-list=klienti src-address-list=domov add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=klienti |
JirkaVejrazka - Mírně pokročilý |
18. 1. 2018 10:05 |
A mas tam pravidlo, ktere propousti "established" spojeni? To je v "normalnim" firewallu defaultne zapnute, ale u FW na bridge si nejsem jisty.
|
bach1 - Kolemjdoucí |
18. 1. 2018 11:43 |
Mám tam pouze tato 2 pravidla v tomto tvaru:
/ip firewall filter add action=accept chain=forward connection-state=established,related dst-address-list=klienti \ src-address-list=domov add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=\ klienti |
JirkaVejrazka - Mírně pokročilý |
18. 1. 2018 11:53 |
to je ale spatne, potrebujes:
/ip firewall filter add action=accept chain=forward connection-state=established,related add action=drop chain=forward dst-address-list=domov log=yes log-prefix=Klienti src-address-list=klienti To druhe pravidlo zabrani otevirani novych spojeni od klientu k tobe. To prvni zajisti, ze kdyz z tve site budes chtit pristoupit do site klienta, tak odpoved z jeho IP zpet k tobe bude povolena. |
Nahoru |
Odeslat nové téma | Odeslat odpověď |
Přejít na stránku 1, 2, • # Další stránka Stránka 1 z 2 [ Příspěvků: 18 ] Předchozí téma | Následující téma |
Verze pro tisk |
Superfórum » Obsah fóra » Sítě a Internet » Struktura sítí: aktivní a pasivní prvky |
Hledat |
Zobrazit v normálním vzhledu |
Podmínky pro užívání služby informační společnosti | Informace o zpracování osobních údajů | Cookies |