Задать вопрос

Маршрутизация между VLAN на одном порту в Mikrotik?

Добрый день! Подскажите, на порту Микротика у меня создано два влана. Поднял для них DHCP и отправил на коммутатор. Проверил с коммутатора - всё хорошо, адреса получаю в соответствии с необходимым вланом. Далее сделал на каждый влан NAT - появился интернет соответственно и пошли пинги из одного влана в другой, но мне нужно отрезать сеть X от сети Y, а сеть Y должна спокойно ходить в сеть X. Начал делать правила в Firewall, но как только сделал одно правило на запрет проходящего трафика из сети X в Y пакеты перестали ходить в обе стороны. Попробовал сделать разрешающее правило на прохождение пакетов из Y в X, но пинги не идут, однако количество пакетов в статистике правила увеличивается, значит правило отрабатывается.

С вланами имею дело впервые, уверен что делаю что-то не так, просьба подсказать на мои ошибки и как реализовать данную схему?
  • Вопрос задан
  • 10070 просмотров
Подписаться 1 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 4
@moneron89
Сертифицированный тренер Mikrotik
Достаточно, по сути одного правила.
/ip firewall filter add chain=forward in-interface=vlanX out-interface=vlanY connection-state=new,invalid action=drop

И объясните, зачем Вам маскарад? Две сети на одном роутере прекрасно будут работать без него, если Вы ещё чего-нть там не накостыляли.
С точки зрения Микротика, вланы -- обычные интерфейсы. Они ничем не отличаются от любых других интерфейсов, и маршрутизация происходит так же. Соответственно, в фаерволе разрграничения вводятся абсолютно в полном соответствии с логикой происходящего.
Ответ написан
martin74ua
@martin74ua Куратор тега Сетевое администрирование
Linux administrator
пинг из сети Х в сеть У - ответы на пинг идут из сети У в сеть Х, и соответственно попадают под ваше правило запрета.

Вам надо запретить прохождение tcp syn пакетов из сети У в сеть Х, это закроет возможность установить соединение из сети У в сеть Х, но наоборот будет возможно. Пинг при этом будет ходить в обе стороны, и udp будет ходить в обе стороны.
Более детально - почитайте как работает TCP протокол
Ответ написан
Перед drop, сделайте разрезающее правило для хождения из X в Y, но в Connection State укажите Established и Related, это даст возможность получить ответы на пакеты, которые были посланы из сети Y.
Ответ написан
Комментировать
@Kr1og5n Автор вопроса
Всем спасибо за ответы, прояснил ситуацию. Для себя решил сделать следующее - ограничил сети между собой, а один компьютер сделал исключением, чтобы он мог ходить в любые сети. В принципе это мне и было нужно.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы