+ Responder ao Tópico



  1. #1

    Padrão Isolamento de Sub-redes - Mikrotik

    Boa noite a todos.

    Galera, tenho 2 duvidas, mas vamos por partes..
    Primeira duvida: tenho algumas redes no meu MK.

    Ex:
    10.50.0.0/20
    192.168.100.0/24
    192.168.200.0/24
    172.18.0.0/24
    172.16.0.0/24

    Nessas redes TODOS enxergam TODOS; 172 vê 10, 10 vê 198.... enfim.
    Como eu isolo essas sub-redes para que elas vejam somente o seu range?

    Já procurei pela net mas não encontrei muita coisa, são sei se foi pq não procurei direito ou se foi pq não tem muita coisa realmente.
    Agradeço a quem puder dar esse help.

    ** RB-1100AHX2/ROS-6.35.2

  2. #2

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    Tem coisa pra caralho aqui no fórum nesse sentido, lembro de ja ter respondido algo semelhante, mas vamos lá.

    Basta você criar regras no firewall para bloquear o trafego entre as redes. Algo do tipo:

    Código :
    /ip firewall filter add chain=forward src-address=10.50.0.0/20 dst-address=!10.50.0.0/20 action=drop
    /ip firewall filter add chain=forward src-address=192.168.100.0/24 dst-address=!192.168.100.0/24 action=drop
    /ip firewall filter add chain=forward src-address=192.168.200.0/24 dst-address=!192.168.200.0/24 action=drop
    /ip firewall filter add chain=forward src-address=172.18.0.0/24 dst-address=!172.18.0.0/24 action=drop
    /ip firewall filter add chain=forward src-address=172.16.0.0/24 dst-address=!172.16.0.0/24 action=drop

    Quando você coloca um ponto de exclamação na frente do endereço, você esta informando que é para verificar se É DIFERENTE, e não igual. Assim, esses filtros vão pegar cada pacote de cada rede, e quando o destino FOR DIFERENTE da mesma rede, ele descarta o pacote.

  3. #3

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    Com certeza formas diferentes é o que mais tem.
    Não foi dito sobre acesso a Internet, se tivesse.
    Eu faria 3 regras de bloqueio dos ranges privados.
    10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 quando src interface diferente da porta da Internet.


    Enviado de meu SM-G800H usando Tapatalk

  4. #4

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    As regras que eu postei é bem no sentido da pergunta do tópico mesmo, as redes enxergam somente a própria subnet. Aquelas regras bloqueariam inclusive o acesso a internet.

    Para resolver isso, caso essas redes além de se enxergar entre si precisem também acessar internet, basta adicionar nas regras a condição da porta de saída ser diferente da porta do link, ou se todas as redes estão na mesma porta, a condição de a porta de destino ser a mesma da origem.

    Por exemplo, digamos que a internet está na porta ether1, e as redes na ether2, algo assim:

    Código :
    /ip firewall filter add chain=forward out-interface=!ether1 src-address=10.50.0.0/20 dst-address=!10.50.0.0/20 action=drop
    /ip firewall filter add chain=forward out-interface=!ether1 src-address=192.168.100.0/24 dst-address=!192.168.100.0/24 action=drop
    /ip firewall filter add chain=forward out-interface=!ether1 src-address=192.168.200.0/24 dst-address=!192.168.200.0/24 action=drop
    /ip firewall filter add chain=forward out-interface=!ether1 src-address=172.18.0.0/24 dst-address=!172.18.0.0/24 action=drop
    /ip firewall filter add chain=forward out-interface=!ether1 src-address=172.16.0.0/24 dst-address=!172.16.0.0/24 action=drop

    Assim, todo trafego das subnets que o destino são diferentes da propria subnet E a porta da saida seja diferente da ether1 (porta da internet) vai ser descartado. Pra ficar mais facil de entender logicamente, daria para expressar que: quando a rede de destino foi diferente da rede de origem, o trafego vai ser descartado, mas somente se a porta de saida do trafego não for a ether1.

  5. #5

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    Exatamente...
    Bloqueia a internet tbm, mas isso é o de menos.
    O lance é que, independente da rede eu consigo pingar o gateway das outras redes.

    Exemplo: da rede 192.168.100.0 eu pingo o gateway 172.18.0.1. De cada rede pingo somente os gateways das outras redes.
    As redes ficaram separadas, como foi a proposta do topico. A questão é somente essa agora.

    É normal? Já que estão todos no mesmo MK...

  6. #6

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    É normal considerando as regras que enviei, pois elas trabalham no chain forward. Um pacote que vai para a RB (ping pra RB, em qualquer IP dela, de qualquer interface) nunca vai chegar no chain forward, justamente pq o pacote não sairá para qualquer outra interface.

    Para bloquear os pings para os IPs da RB que não sejam da mesma subrede do computador que ta pingando, precisará de mais regras. O problema é que tem que ser cuidado no caso de não querer interferir em redes que não deve, como por exemplo, a rede da internet. Se você bloquear qualquer input para a RB que não seja o gateway daquela rede, vai bloquear tb input para o IP da porta do link, o que não prejudica em sí o acesso a internet, mas enibe a identificação daquele endereço de rede pelo cliente. Por exemplo, digamos que sua RB na porta de internet tenha o IP 200.10.10.10, e que você tenha um dominio, www.meudominio.com.br que aponta para esse IP e vc tem regras na RB para direcionar para um servidor Web ou FTP, e vc vai uma regra assim:

    Código :
    /ip firewall filter add chain=input src-address=10.50.0.0/20 dst-address-type=local dst-address=!10.50.1.1 action=drop

    Essa regra bloquearia o acesso dos clientes na rede 10.50.0.0/20 a qualquer IP da RB que não seja o 10.50.1.1, no caso até mesmo o 200.10.10.10, e então se esse cliente digitasse no navegador www.meudominio.com.br, não abriria, porém de fora da sua rede, pela internet, esse endereço seria acessível. Acredito que fazendo no sentido: se o destino for o gateway X, e a origem nao for a rede de X, e a porta de entrada for a ether2 (clientes), descarta.

    Código :
    /ip firewall filter add chain=input src-address=!10.50.0.0/20 dst-address=10.50.1.1 in-interface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!192.168.100.0/24 dst-address=192.168.100.1 in-interface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!192.168.200.0/24 dst-address=192.168.200.1 in-terface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!172.18.0.0/24 dst-address=172.18.0.1 in-interface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!172.16.0.0/24 dst-address=172.16.0.1 in-interface=ether2 action=drop

  7. #7

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    Não foi criada nenhuma sub-rede, o que foi feito foram redes distintas.
    Aqui esta uma noção do que seria uma rede dividida em 8 sub-redes com 32 ips cada, totalizando 255 hosts, todas elas separadas uma das outras.
    Sub-rede 01:
    200.100.100.0 -> 200.100.100.31
    Sub-rede 02: 200.100.100.32 -> 200.100.100.63
    Sub-rede 03: 200.100.100.64 -> 200.100.100.95
    Sub-rede 04: 200.100.100.96 -> 200.100.100.127
    Sub-rede 05: 200.100.100.128 -> 200.100.100.159
    Sub-rede 06: 200.100.100.160 -> 200.100.100.191
    Sub-rede 07: 200.100.100.192 -> 200.100.100.223
    Sub-rede 08: 200.100.100.224 -> 200.100.100.255

  8. #8

    Padrão Re: Isolamento de Sub-redes - Mikrotik

    Pow galera.. valeu pelo help ai. Tudo postado aqui resolveu meu problema. Só não tive tempo de testar antes e postar.


    Valeu a todos!