Isolamento entre redes com vlan

[Good_speed]

Amigos, boa noite

[DIAGRAMA DA REDE]


Configuração da RB493AH

Código :

[SIZE=4][I][FONT=courier new]/interface bridge
add mtu=1520 name=lan
add mtu=1516 name=vlan10
add mtu=1516 name=vlan20
 
/interface vlan
add interface=ether3 name=vlan10-ether3 vlan-id=10
add interface=ether3 name=vlan20-ether3 vlan-id=20
 
/ip neighbor discovery
set vlan10-ether3 discover=no
set vlan20-ether3 discover=no
 
/ip dhcp-server option
add code=43 name=unifi value=0xC0A803FE
 
/ip pool
add name=dhcpd_lan ranges=10.0.0.11-10.0.0.254
add name=dhcpd_manage ranges=10.0.10.11-10.0.10.254
add name=dhcpd_guest ranges=10.0.20.11-10.0.20.254
 
/ip dhcp-server
add address-pool=dhcpd_lan disabled=no interface=lan name=dhcpd_lan
add address-pool=dhcpd_manage disabled=no interface=vlan10 name=dhcpd_manage
add address-pool=dhcpd_guest disabled=no interface=vlan20 name=dhcpd_guest
 
/interface bridge port
add bridge=lan interface=ether2
add bridge=lan interface=ether3
add bridge=vlan10 interface=vlan10-ether3
add bridge=vlan20 interface=vlan20-ether3
 
/ip address
add address=10.0.0.3/24 interface=lan network=10.0.0.0
add address=10.0.10.3/24 interface=vlan10 network=10.0.10.0
add address=10.0.20.3/24 interface=vlan20 network=10.0.20.0
 
/ip dhcp-server network
add address=10.0.0.0/24 dhcp-option=unifi dns-server=10.0.0.3 gateway=10.0.0.3
add address=10.0.10.0/24 dhcp-option=unifi dns-server=10.0.10.3 gateway=10.0.10.3
add address=10.0.20.0/24 dhcp-option=unifi dns-server=10.0.20.3 gateway=10.0.20.3
 
/ip dns
set allow-remote-requests=yes
[/FONT][/I][/SIZE]

GRUPO A - TI
10.0.10.0/24

GRUPO B - Demais redes
10.0.0.0/24
10.0.20.0/24

Vamos ao X da questão, preciso isolar as redes do grupo b entre eles, e deixar a rede do grupo a acessando tudo, já pesquisei no google como isolar a rede mais não obtive sucesso, alguém poderia me ajuda a resolver este pequeno problema?

Desde já, agradeço ajuda.

[alexrock]

Bloqueia via firewall o forward ebtre elas.

Enviado de meu LG-K350 usando Tapatalk

[Good_speed]

Bloqueia via firewall o forward ebtre elas.

Enviado de meu LG-K350 usando Tapatalk

Alexrock,

Eu ja fiz o que vc pensou, mais nao funcionou, ou seja, a regra ou bloqueia tudo ou abre tudo.

Obrigado

[alexrock]

Passa as regras que você usou.

Enviado de meu LG-K350 usando Tapatalk

[geoney]

aqui eu uso em uma das redes minha o serviço de pppoe para mim essa serve

/interface bridge filter add action=accept chain=forward comment=PPPOE-SESSION disabled=no mac-protocol=0x8864
/interface bridge filter add action=accept chain=forward comment=PPPOE-DISCOVERY disabled=no mac-protocol=0x8863
/interface bridge filter add action=drop chain=forward comment=DROPA-RESTO disabled=no

[Good_speed]

Passa as regras que você usou.

Enviado de meu LG-K350 usando Tapatalk

/ip firewall filter add chain=forward src-address=10.0.20.0/24 dst-address=10.0.20.0/24 action=drop comment="bloqueio trafico entre cliente" disabled=no

[alexrock]

/ip firewall filter add chain=forward src-address=10.0.20.0/24 dst-address=10.0.20.0/24 action=drop comment="bloqueio trafico entre cliente" disabled=no

Essa regra não faz sentido. Origem e destino tem que ser redes diferentes.

Enviado de meu LG-K350 usando Tapatalk

[andrecarlim]

Vamo lá irmão:

/ip firewall filter
add chain=forward connection-state=established comment="aceita sempre que for uma conexão estabelecida"

/ip firewall filter
add chain=forward connection-state=related comment="aceita sempre que for uma conexão relacionada"

/ip firewall filter add chain=forward src-address=10.0.10.0/24 action=accept comment="aceita tudo quando a origem é a rede 10.0.10.0/24" disabled=no

/ip firewall filter add chain=forward src-address=10.0.0.0/24 dst-address=10.0.0.0/8 action=drop comment="bloqueia tudo quando a rede de origem for 10.0.0.0/24 destinado a qualquer IP da classe 10/8" disabled=no

/ip firewall filter add chain=forward src-address=10.0.20.0/24 dst-address=10.0.0.0/8 action=drop comment="bloqueia tudo quando a rede de origem for 10.0.20.0/24 destinado a qualquer IP da classe 10/8" disabled=no

Enviado via XT1580 usando UnderLinux App

[nulltest]

Esses dias tive o mesmo problema ao fazer bloqueio entre redes. Tinha as rede A, B e C e precisava isolar B e C. Pesquisei na net e até encontrei alguns scripts, porém não funcionava. Todos os scripts que vi usava somente o forward para fazer bloqueio e não funcionava. A única forma que funcionou, foi a seguinte:

SCRIPT
add action=drop chain=input src-address=REDE_C dst-address=REDE_B in-interface=REDE_C
add action=drop chain=forward src-address=REDE_C dst-address=REDE_B in-interface=REDE_C
add action=drop chain=input src-address=REDE_B dst-address=REDE_C in-interface=REDE_B
add action=drop chain=forward src-address=REDE_B dst-address=REDE_C in-interface=REDE_B