Wie funktioniert der Inter VLAN-Routingblock?

462
wunderlinej

Ich habe VLAN10 für Admin und VLAN20 für Office in verschiedenen Subnetzen. Derzeit werden sie automatisch vom Router geroutet. Ich möchte, dass der Administrator auf Office-Inhalte zugreifen kann, aber nicht, dass das Office auf Admin-Elemente zugreifen kann.

Ich habe eine Firewall erstellt, die vlan office für admin blockiert. Aber das verwirrt mich, kann der Administrator trotzdem auf das Büro zugreifen? Sollte es nicht eine gegenseitige Vereinbarung sein? Nehmen wir an, der Admin stellt die Verbindung zum Büro her, aber das Büro kann nicht zurück antworten. Technisch kann der Admin auch nicht mit dem Büro sprechen.

Ich verwende mikrotik mit folgender Regel /ip firewall filter add chain=forward action=drop in-interface=vlan-20 out-interface=vlan-10 comment="Block Office to Admin"

0

1 Antwort auf die Frage

1
grawity

Aber das verwirrt mich, kann der Administrator trotzdem auf das Büro zugreifen?

Hängt von anderen Regeln in der Kette ab. Mit nur dieser Regel nein.

Nehmen wir an, der Admin stellt die Verbindung zum Büro her, aber das Büro kann nicht zurück antworten. Technisch kann der Admin auch nicht mit dem Büro sprechen.

Sie müssen also nur Antworten in diese Richtung zulassen . Dafür gibt es zwei Möglichkeiten ... Es ist am einfachsten, die RouterOS Stateful Firewall zu verwenden, die verfolgt, welche Pakete zu welchen Verbindungen gehören. Fügen Sie eine Forward-Regel hinzu, die Pakete nach ihrem Status zulässt :

connection-state=established,related action=accept 

Denken Sie daran, dass die Firewall-Regeln von oben nach unten verarbeitet werden. Sie müssen daher auf die Reihenfolge achten, in der sie platziert werden. Die spezifischen Annahmeregeln funktionieren nur, wenn sie vor der Regel für generelle Ablehnung stehen.