Isolamento de Sub-redes - Mikrotik
Boa noite a todos.
Galera, tenho 2 duvidas, mas vamos por partes..
Primeira duvida: tenho algumas redes no meu MK.
Ex:
10.50.0.0/20
192.168.100.0/24
192.168.200.0/24
172.18.0.0/24
172.16.0.0/24
Nessas redes TODOS enxergam TODOS; 172 vê 10, 10 vê 198.... enfim.
Como eu isolo essas sub-redes para que elas vejam somente o seu range?
Já procurei pela net mas não encontrei muita coisa, são sei se foi pq não procurei direito ou se foi pq não tem muita coisa realmente.
Agradeço a quem puder dar esse help.
** RB-1100AHX2/ROS-6.35.2
Re: Isolamento de Sub-redes - Mikrotik
Tem coisa pra caralho aqui no fórum nesse sentido, lembro de ja ter respondido algo semelhante, mas vamos lá.
Basta você criar regras no firewall para bloquear o trafego entre as redes. Algo do tipo:
Código :
/ip firewall filter add chain=forward src-address=10.50.0.0/20 dst-address=!10.50.0.0/20 action=drop
/ip firewall filter add chain=forward src-address=192.168.100.0/24 dst-address=!192.168.100.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.200.0/24 dst-address=!192.168.200.0/24 action=drop
/ip firewall filter add chain=forward src-address=172.18.0.0/24 dst-address=!172.18.0.0/24 action=drop
/ip firewall filter add chain=forward src-address=172.16.0.0/24 dst-address=!172.16.0.0/24 action=drop
Quando você coloca um ponto de exclamação na frente do endereço, você esta informando que é para verificar se É DIFERENTE, e não igual. Assim, esses filtros vão pegar cada pacote de cada rede, e quando o destino FOR DIFERENTE da mesma rede, ele descarta o pacote.
Re: Isolamento de Sub-redes - Mikrotik
Com certeza formas diferentes é o que mais tem.
Não foi dito sobre acesso a Internet, se tivesse.
Eu faria 3 regras de bloqueio dos ranges privados.
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 quando src interface diferente da porta da Internet.
Enviado de meu SM-G800H usando Tapatalk
Re: Isolamento de Sub-redes - Mikrotik
As regras que eu postei é bem no sentido da pergunta do tópico mesmo, as redes enxergam somente a própria subnet. Aquelas regras bloqueariam inclusive o acesso a internet.
Para resolver isso, caso essas redes além de se enxergar entre si precisem também acessar internet, basta adicionar nas regras a condição da porta de saída ser diferente da porta do link, ou se todas as redes estão na mesma porta, a condição de a porta de destino ser a mesma da origem.
Por exemplo, digamos que a internet está na porta ether1, e as redes na ether2, algo assim:
Código :
/ip firewall filter add chain=forward out-interface=!ether1 src-address=10.50.0.0/20 dst-address=!10.50.0.0/20 action=drop
/ip firewall filter add chain=forward out-interface=!ether1 src-address=192.168.100.0/24 dst-address=!192.168.100.0/24 action=drop
/ip firewall filter add chain=forward out-interface=!ether1 src-address=192.168.200.0/24 dst-address=!192.168.200.0/24 action=drop
/ip firewall filter add chain=forward out-interface=!ether1 src-address=172.18.0.0/24 dst-address=!172.18.0.0/24 action=drop
/ip firewall filter add chain=forward out-interface=!ether1 src-address=172.16.0.0/24 dst-address=!172.16.0.0/24 action=drop
Assim, todo trafego das subnets que o destino são diferentes da propria subnet E a porta da saida seja diferente da ether1 (porta da internet) vai ser descartado. Pra ficar mais facil de entender logicamente, daria para expressar que: quando a rede de destino foi diferente da rede de origem, o trafego vai ser descartado, mas somente se a porta de saida do trafego não for a ether1.
Re: Isolamento de Sub-redes - Mikrotik
Exatamente...
Bloqueia a internet tbm, mas isso é o de menos.
O lance é que, independente da rede eu consigo pingar o gateway das outras redes.
Exemplo: da rede 192.168.100.0 eu pingo o gateway 172.18.0.1. De cada rede pingo somente os gateways das outras redes.
As redes ficaram separadas, como foi a proposta do topico. A questão é somente essa agora.
É normal? Já que estão todos no mesmo MK...