Wie isoliere ich Netzwerke mit einem Mikrotik-Router?

15718
Kaypro II

Ich habe vor kurzem einen Mikrotik-Router für mein Netzwerk und ich möchte 3 Netzwerke einrichten, die voneinander isoliert sind, aber alle über einen Internetzugang verfügen:

  1. Das "Haupt" -Netzwerk für PCs usw.
  2. Ein Netzwerk für Hausautomationsgeräte / -geräte. Ich möchte nicht, dass diese Hosts auf die anderen Netzwerke zugreifen können, ich möchte jedoch, dass bestimmte Hosts im Hauptnetzwerk auf bestimmte Hosts in diesem Netzwerk zugreifen können.
  3. Ein Gastnetzwerk für Besucher. Ich möchte, dass Hosts in diesem Netzwerk nur Internetzugang haben und vollständig von den anderen Netzwerken isoliert sind.

Ich konnte diese drei Netzwerke mithilfe von Bridges einrichten, indem Sie diese Anweisungen befolgen und auch die Standardkonfiguration nachahmen, die mit dem Router geliefert wurde.

Es klingt, als müsste ich jetzt Firewall-Regeln definieren, um den Verkehr zwischen den Bridges zu blockieren. Hier brauche ich etwas Hilfe. Ich verstehe, dass die Mikrotik Firewall-Software auf Linux iptables basiert.

  1. Es scheint, als gäbe es dafür zwei Möglichkeiten: die Hauptkonfiguration der Firewall in /ip firewall filterund einen brückenspezifischen Abschnitt in /interface bridge filter. Welches ist am besten zu verwenden? Was sind die Vor- und Nachteile eines jeden?

  2. Ich experimentiere mit den Bridge-Filtern, aber neben meinen Regeln gibt es ein kleines Symbol für die Verkehrssperre, was für mich nicht gut aussieht. Ich kann keine Erklärung finden, was das Symbol bedeutet.

  3. Wie muss ich die Regeln festlegen? Wäre es leichter zu handhaben, für jede Brücke eine Reihe von separaten Ketten zu erstellen? Wenn ja, wie sollen die Ketten organisiert werden?

  4. Es klingt, als müsste ich dafür forwardRegeln definieren . Gibt es irgendwelche inputoder outputRegeln, die ich würde auch brauchen?

  5. Ich sollte die Regeln auf den Bridges / Interfaces (dh In-Bridge, Out-Bridge, WAN-Schnittstelle usw.) übereinstimmen lassen, richtig? Um beispielsweise Pakete vom Hauptnetz an das Heimautomationsnetzwerk zu blockieren, würde ich eine Regel benötigen, die so etwas wie in-bridge = main out-bridge = home_automation action = DROP, richtig?

5
Wenn Sie einen alternativen Ansatz haben, können Sie ihn gerne vorschlagen. Diese Netzwerke werden alle auf einem einzigen Router eingerichtet (ihnen sind unterschiedliche Switchports / SSIDs zugewiesen), aber der Router routet anscheinend automatisch zwischen allen Netzwerken, zu denen er Routen hat. Kaypro II vor 8 Jahren 0
Der obige Kommentar war eine Antwort auf einen jetzt gelöschten Kommentar. Kaypro II vor 8 Jahren 0

1 Antwort auf die Frage

3
Benoit PHILIPPON

Tatsächlich routen Mikrotik-Geräte automatisch zwischen Netzwerken. Betrachten Sie zum Beispiel die beiden Netzwerke 10.0.0.1/16 und 192.168.1.0/24. Wenn Sie den Verkehr zwischen diesen beiden blockieren möchten, fügen Sie einfach zwei Firewall-Regeln hinzu

ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop

so lassen Sie Pakete in beide Richtungen fallen.

Verwandte Probleme