Как запретить доступ к локальной сети, но не глобальной?

Question

[Pontius71]

Имеем роутер mikrotik, где eth1=WAN, Остальные объеденины в бридж - LAN (192.168.60.1) , на бридже поднят dhcp сервер, раздает в 192.168.60.0/24
Имеем роутер keenetic. Wan портом включен в один из интерфейсов LAN бриджа микротика. WAN интерфес кинетика получает по dhcp адрес 192.168.60.13. На лан портах кинетика поднят dhcp-сервер, раздет в 192.168.1.0/24.

Как мне ограничить доступ с устройств в подсети 192.168.1.0/24 к подсети 192.168.60.0/24, но в интернет пускать?
tracert показывает маршрут на 192.168.1.1 =- 192.168.60.1 =- и так далее.

Образно говоря хочу добиться гостевой сети с интернетом, но без доступа к локальной сети.

Comments

[Sand]

Можно добавить на бридж микротика подсеть конкретно для связи с кинетиком, например 192.168.168.0/30. Микротику присвоить адрес 192.168.168.1/30 а кинетику 192.168.168.2/30. Соответственно на кинетике указать шлюзом 192.168.168.1. После этого на микротике запретить трафик из сети 192.168.168.0/30 в сеть 192.168.60.0/24

[Drno]

route>rules
Но вообще проще вынести в отдельную подсеть и закрыть фаерволом

[Sand]

Drno, хм, static routes тоже в принципе можно закостылить)

[AntHTML]

Drno, не только проще но и легче для роутера - не надо все пакеты из LAN гнать на лишних 3 правила

Answer 1

[Талян]

одно правило в файрволе - FORWARD ACCEPT с адреса 192.168.60.13/24 в out-интерфейс WAN,
ниже него правило FORWARD ACCEPT с адреса 192.168.60.13/24 на адрес 192.168.60.1/24
а еще ниже правило FORWARD REJECT с адреса 192.168.60.13/24 в 192.168.60.0/24

Вроде как хватит.

Comments

[Pontius71]

Так пробовал, только drop вместо reject - доступ к 192.168.60.0/24 разрешен, все ходит.
Ниже export ip firewall

add action=accept chain=forward out-interface=eth1-Sunlink src-address=192.168.60.13
add action=accept chain=forward dst-address=192.168.60.1 src-address=192.168.60.13
add action=reject chain=forward dst-address=192.168.60.0/24 reject-with=icmp-network-unreachable src-address=192.168.60.13
add action=accept chain=forward comment="accpet establishment" connection-state=established
add action=accept chain=input connection-state=established
add action=accept chain=forward comment="accept related" connection-state=related
add action=accept chain=input connection-state=related
add action=accept chain=input comment="l2tp port" dst-port=1701 protocol=udp
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=input comment="denny all" in-interface=eth1-Sunlink
add action=drop chain=forward in-interface=eth1-Sunlink

NAT
add action=masquerade chain=srcnat out-interface=eth1-Sunlink

[Sand]

Pontius71, это не будет работать. Кинетику не нужно пользоваться маршрутизацией для доступа к хостам из сети 192.168.60.0/24, поэтому до правил микротика трафик просто не дойдёт

[Талян]

Sand, Да, вы правы. Написал не подумав, а они в одном широковещательном домене. Тут бридж нужно трогать, а не файрвол.

[Pontius71]

Я так и предполагал - увы кинетик через связку неуправляемых свичей попадает в бридж. Всем спасибо за содействие.

Answer 2

[Дмитрий Жура]

одно правило в файрволе - FORWARD ACCEPT с адреса 192.168.60.13/24 в out-интерфейс WAN,
ниже него правило FORWARD ACCEPT с адреса 192.168.60.13/24 на адрес 192.168.60.1/24
а еще ниже правило FORWARD REJECT с адреса 192.168.60.13/24 в 192.168.60.0/24