Как ограничить доступ из сети в сеть?

Question

[Игорь Кривинцов]

Добрый день.
Помогите понять как ограничить сети друг от друга.
Есть Микротик с Vlan , хочу ограничить сеть между Vlan 7 и Vlan 9, я пробовал через firewall, создавал 2 правила
add action=drop chain=forward dst-address=172.16.7.0/24 src-address=172.16.9.0/24
add action=drop chain=forward dst-address=172.16.9.0/24 src-address=172.16.7.0/24, но не помогают эти правила.
https://pastebin.com/mvAuRKDH - Конфигурация маршрутов
https://pastebin.com/Xx2RDqmz - Конфигурация интерфейсов
Пробовал через route rules тоже безуспешно.
Видимо из за того что у меня vlan все в bridge , как тогда сделать ограничения?

Comments

[nApoBo3]

Сделайте скрин правил, которые у вас реально применились.
Дальше дамп трафика, будет понятно какой конкретно трафик бегает между сетями, может быть у вас там nat какой-нибудь применяется до фильтра.
В фаерволе можно так же поставить правила не по подсетям а по интерфейсам, можете попробовать их.

Answer 1

[Denis Melnikov]

Вообще , правила верные.
А вот их порядок, глянуть бы. Возможно у вас разрешающее правило, выше, чем запрещающее

Comments

[Игорь Кривинцов]

Да я их на самый вверх кинул,
/ip firewall filter
add action=drop chain=forward dst-address=172.16.7.0/24 src-address=172.16.9.0/24
add action=drop chain=forward dst-address=172.16.9.0/24 src-address=172.16.7.0/24
add action=accept chain=forward comment=VoIP disabled=yes dst-port=5060,5061 protocol=udp
add action=accept chain=forward disabled=yes dst-port=10000-20000 protocol=udp
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=172.16.5.0/24
add action=accept chain=input comment=OSPF in-interface=all-ppp protocol=ospf
add action=accept chain=input comment=PPP dst-port=1701 protocol=udp
add action=accept chain=input dst-port=1723 protocol=udp
add action=accept chain=forward dst-port=4000 protocol=tcp
add action=drop chain=input comment="drop PPTP brute forcers" dst-port=1723 protocol=tcp src-address-list=PPTP_blacklist
add action=reject chain=forward comment="drop PPTP brute downstream" dst-port=1723 protocol=tcp reject-with=icmp-network-unreachable src-address-list=PPTP_blacklist
add action=add-src-to-address-list address-list=PPTP_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=\
PPTP_stage3
add action=add-src-to-address-list address-list=PPTP_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=\
PPTP_stage2
add action=add-src-to-address-list address-list=PPTP_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=\
PPTP_stage1
add action=add-src-to-address-list address-list=PPTP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp
add action=drop chain=output comment="GOOGLE PING DENY 8.8.4.4" dst-address=8.8.4.4 out-interface=ether6
add action=add-src-to-address-list address-list=Winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=\
!Winbox_White
add action=add-src-to-address-list address-list=Winbox_blacklist address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 protocol=tcp \
src-address-list=Winbox_stage1
add action=reject chain=input comment="drop Winbox brute forcers" dst-port=8291 protocol=tcp reject-with=icmp-network-unreachable src-address-list=Winbox_blacklist
add action=drop chain=forward comment="Printers Reseption hp laserJet 428" src-address=172.16.9.225
add action=drop chain=forward comment="Printers hp 400 mfp" src-address=172.16.9.89
add action=accept chain=input protocol=gre
add action=drop chain=input comment="DNS ROSTELEKOM" dst-port=53 in-interface=ether6 protocol=udp
add action=drop chain=input comment="DNS DOM.RU" dst-port=53 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input comment=Estabilished/Related connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment=Invalid connection-state=invalid connection-type="" in-interface-list=Wan
add action=drop chain=input connection-state=invalid in-interface-list=Wan
add action=accept chain=forward comment=IpSec dst-port=500 protocol=udp
add action=accept chain=forward dst-port=4500 protocol=udp
add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add action=accept chain=input comment=WinBox dst-port=8291 protocol=tcp
add action=accept chain=input comment="Allow ping" protocol=icmp
add action=accept chain=forward comment="IIS Server" dst-port=80 protocol=tcp

[Denis Melnikov]

Ну да, в начале. И все равно трафик ходит ? Прям вот берет и ходит ?)

[Игорь Кривинцов]

Denis Melnikov, Да, пинги ходят

[Denis Melnikov]

Проделал у себя, работает отлично все.

chain=forward action=reject reject-with=icmp-network-unreachable in-interface=vlan 200 out-interface=vlan 10 log=no log-prefix=""

Пинг сразу рубится после включения правила

[Denis Melnikov]

Игорь Кривинцов, попробуйте ( хотя хз зачем ), через интерфейсы ограничить, а не через сети.

[Игорь Кривинцов]

Denis Melnikov,
add action=drop chain=forward in-interface=Teh.PersonalVlan9 out-interface=\
UnlimitedSpeedVlan7
Такое правило делаю и не работает.
Раньше когда я вешал vlan на eher1, то все работало, потом я решил сделать через bridge
/interface bridge vlan
add bridge=bridge_Local comment=MGMT tagged=ether1,ether3,bridge_Local vlan-ids=2
add bridge=bridge_Local comment="Servers Network" tagged=bridge_Local,ether1,ether3 vlan-ids=3
add bridge=bridge_Local comment=Personal tagged=ether1,bridge_Local untagged=ether2 vlan-ids=9
add bridge=bridge_Local comment=VIP tagged=bridge_Local,ether1 vlan-ids=7
add bridge=bridge_Local comment=Voip tagged=bridge_Local,ether3,ether1 vlan-ids=8
add bridge=bridge_Local comment=DOMRU tagged=ether3,ether1,bridge_Local vlan-ids=3603
то не получается ограничить.

[Denis Melnikov]

Игорь Кривинцов, а сами vlan сделаны же (как интерфесы ) и весят они на бридже ?

[Игорь Кривинцов]

Denis Melnikov,
да

[Denis Melnikov]

Игорь Кривинцов, да уж... забавно.

[Denis Melnikov]

Кстати, выше писали про NAT, действительно, правила ната обрабатываются перед фильтром. Нет у вас там ничего связанного с этим сетями ?

[Игорь Кривинцов]

Denis Melnikov,
Ничего такого нет(
/ip firewall nat
add action=dst-nat chain=dstnat comment=VOip disabled=yes dst-port=8796 \
protocol=udp to-addresses=172.16.3.30 to-ports=5060
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-20000 protocol=udp \
to-addresses=172.16.3.30 to-ports=10000-20000
add action=dst-nat chain=dstnat comment=MOBIS disabled=yes dst-port=1234 \
in-interface=pppoe-out1 protocol=tcp to-addresses=172.16.9.73 to-ports=1234
add action=dst-nat chain=dstnat comment="Lift Dialain" dst-port=46000 \
in-interface=pppoe-out1 log=yes protocol=udp to-addresses=172.16.1.29 \
to-ports=46000
add action=dst-nat chain=dstnat dst-port=46001 in-interface=pppoe-out1 log=yes \
protocol=udp to-addresses=172.16.1.29 to-ports=46001
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=dst-nat chain=dstnat comment=ZABBIX dst-port=90 in-interface=ether6 \
protocol=tcp to-addresses=172.16.3.9 to-ports=80
add action=accept chain=srcnat comment=IPSEC_Base dst-address=10.8.0.0/24 \
src-address=172.16.9.0/24
add action=dst-nat chain=dstnat comment="Apache Server" dst-port=82 protocol=\
tcp to-addresses=172.16.3.6 to-ports=81
add action=dst-nat chain=dstnat comment="EDS Server" dst-port=80 in-interface=\
pppoe-out1 protocol=tcp to-addresses=172.16.3.17 to-ports=80
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether6 protocol=tcp \
to-addresses=172.16.3.17 to-ports=80
add action=masquerade chain=srcnat comment=Nat out-interface=ether6
add action=masquerade chain=srcnat out-interface=pppoe-out1

Answer 2

[Drno]

Посмотрите меню ip>routes>rules

Comments

[Игорь Кривинцов]

Можно по точнее , что там не так?

Answer 3

[Константин Зайцев]

Я правильно понял, Вы vlan`ы в один бридж положили? Тогда и не должны работать Ваши ограничения, трафик идёт через бридж минуя фаерволл и вроде как маршруты тоже. В бридже есть отдельный фильтр ака фаерволл, попробуйте в нем правила написать. Только фильтрация на бридже производительностью не отличается.

Comments

[Игорь Кривинцов]

/interface bridge
add comment=" Guest DOMRU Network" name=bridge_DOM.RU
add admin-mac=DE:A5:97:57:0F:B4 auto-mac=no comment="Local Network" name=\
bridge_Local vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=Local loop-protect=on
set [ find default-name=ether2 ] comment="MGMT admin port" speed=100Mbps
set [ find default-name=ether3 ] comment=UPLINK_Servers speed=100Mbps
set [ find default-name=ether4 ] disabled=yes speed=100Mbps
set [ find default-name=ether5 ] comment="Dom_RU_Corporate Network" speed=\
100Mbps
set [ find default-name=ether6 ] comment=Rostelekom speed=100Mbps
set [ find default-name=ether7 ] comment="Guest network DOM.RU" loop-protect=\
on speed=100Mbps
set [ find default-name=ether8 ] disabled=yes loop-protect=on speed=100Mbps
set [ find default-name=ether9 ] disabled=yes speed=100Mbps
set [ find default-name=ether10 ] disabled=yes speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes \
loop-protect=on
/interface list
add exclude=dynamic name=discover
add name=Wan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge_DOM.RU comment="Guest DOMRU Network" interface=vlan_Dom.Ru
add bridge=bridge_Local comment="UPLINK to Switch Ring 52 Port" interface=\
ether1 multicast-router=disabled
add bridge=bridge_Local comment="UPLINK to Switch Hostel 25 Port" interface=\
ether3 multicast-router=disabled
add bridge=bridge_Local comment="MGMT admin port" interface=ether2 \
multicast-router=disabled pvid=9
/interface bridge settings
set use-ip-firewall-for-vlan=yes
/interface bridge vlan
add bridge=bridge_Local comment=MGMT tagged=ether1,ether3,bridge_Local \
vlan-ids=2
add bridge=bridge_Local comment="Servers Network" tagged=\
bridge_Local,ether1,ether3 vlan-ids=3
add bridge=bridge_Local comment=Personal tagged=ether1,bridge_Local untagged=\
ether2 vlan-ids=9
add bridge=bridge_Local comment=VIP tagged=bridge_Local,ether1 vlan-ids=7
add bridge=bridge_Local comment=Voip tagged=bridge_Local,ether3,ether1 \
vlan-ids=8
add bridge=bridge_Local comment=DOMRU tagged=ether3,ether1,bridge_Local \
vlan-ids=3603
/interface list member
add interface=ether2 list=discover
add interface=ManagementVlan2 list=discover
add interface=ether6 list=Wan
add interface=pppoe-out1 list=Wan
/interface pptp-server server
set default-profile=MyVPN enabled=yes

[nApoBo3]

Трафик через bidge должен ходить только на l2 уровне. Если две разные подсети, он должен подниматься на уровень фаервола и фильтроваться там.