URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1113
[ Назад ]

Исходное сообщение
"Изоляция клиентов на Mikrotik"
Отправлено shanker , 02-Дек-13 22:50

Ситуация. Маршрутизатор Mikrotik Routerboard 751G-2HnD
Необходимо изолировать 1 машинку от остальных устройств. Остальные машинки изолировать друг от друга не требуется.
Погуглив результаты нашёл такой вариант:
http://forum.nag.ru/forum/index.php?showtopic=74003
Но, я так понимаю, он приведёт к изоляции всех устройств друг от друга.
Есть ли какие-то альтернативы?

Содержание

Изоляция клиентов на Mikrotik,rusadmin, 10:20 , 04-Дек-13
Изоляция клиентов на Mikrotik,local_root, 13:28 , 09-Дек-13
Изоляция клиентов на Mikrotik,VolanD, 13:43 , 09-Дек-13

Сообщения в этом обсуждении

"Изоляция клиентов на Mikrotik"
Отправлено rusadmin , 04-Дек-13 10:20

> Ситуация. Маршрутизатор Mikrotik Routerboard 751G-2HnD
> Необходимо изолировать 1 машинку от остальных устройств. Остальные машинки изолировать
> друг от друга не требуется.
> Погуглив результаты нашёл такой вариант:
> http://forum.nag.ru/forum/index.php?showtopic=74003
> Но, я так понимаю, он приведёт к изоляции всех устройств друг от
> друга.
> Есть ли какие-то альтернативы?
Отдельный VLAN, на котором своя IP адресация и, желательно, отдельный статический белый адрес на source nat. Так же настроить firewall (цепочка forward), чтобы между локальными сетями трафик не ходил. Получаем
-Отдельный VLAN
-Отдельная локальная IP сеть
-Отдельное правило NAT
-Настроенный фаерволл
Как то так
Второй вариант (полумера)
Вешаете на локальную есть еще одну сетку IP адресов (если одна машина то сеть с маской 255.255.255.252), и правилами фаервола (цепочка forward) запрещаете хождение пакетов между обычной и новой локальными сетями

"Изоляция клиентов на Mikrotik"
Отправлено local_root , 09-Дек-13 13:28

> Ситуация. Маршрутизатор Mikrotik Routerboard 751G-2HnD
> Необходимо изолировать 1 машинку от остальных устройств. Остальные машинки изолировать
> друг от друга не требуется.
> Погуглив результаты нашёл такой вариант:
> http://forum.nag.ru/forum/index.php?showtopic=74003
> Но, я так понимаю, он приведёт к изоляции всех устройств друг от
> друга.
> Есть ли какие-то альтернативы?
Я так понял, что клиенты подключены напрямую к микротику? Свичей перед ним нет? Тогда просто убираешь один порт с bridge, выделяешь /30 подсеть на этот порт, ну и в firewall дропать соединения на все интерфейсы кроме WAN с этого порта. Если перед ним есть свичи, то да, они должны быть L2 управляемыми. Тогда оставляешь всех клиентов в нативном vlan'e, а одного переводишь в отдельный vlan, порт на свиче к роутеру переводим в trunk(tagged) и на микротике создаем отдельный интерфейс для этого vlan'a.

"Изоляция клиентов на Mikrotik"
Отправлено VolanD , 09-Дек-13 13:43

> Ситуация. Маршрутизатор Mikrotik Routerboard 751G-2HnD
> Необходимо изолировать 1 машинку от остальных устройств. Остальные машинки изолировать
> друг от друга не требуется.
> Погуглив результаты нашёл такой вариант:
> http://forum.nag.ru/forum/index.php?showtopic=74003
> Но, я так понимаю, он приведёт к изоляции всех устройств друг от
> друга.
> Есть ли какие-то альтернативы?
Там вроде vrf есть... может в этом направлении покопать?