Как изолировать трафик на портах Mikrotik?

Question

[5diezov]

Задача такова:
Есть микротик rb750g
1 порт ван
2 порт подсеть 192.168.10.0/24 - сеть предприятия.
3 порт подсеть 192.168.11.0/24 - публичная сеть, ну допустим хотспот.

Нужно что бы одна подсеть не видела другую.
Сейчас два dhcp на разные порты, без мастер портов и бриджей, но пинг почему то проходит.

Answer 1

[Wexter]

в firewall запретите forward из 192.168.11.0/24 в 192.168.10.0/24

Comments

[Сергей]

и forward из 192.168.10.0/24 в 192.168.11.0/24

[5diezov]

Все получилось, спасибо.
Но почему трафик ходит между портами без бриджа и без мастер портов?
По моему они должны быть изолированы по дефолту, не?

[Wexter]

5diezov, без бриджа у вас l2 изоляция, в обеих портах могут быть одинаковые сети, но друг-друга они не увидят. в вашем случае идёт уже l3 (маршрутизация), пакет идёт к шлюзу по дефолтному маршруту и там уже идёт по таблице маршрутизации

[5diezov]

Wexter, А если я хочу изолировать трафик между интерфейсами, но пропустить к примеру один адрес, через адрес лист, как лучше сделать?
Стоит загонять в бридж интерфейсы и потом уже ограничивать или нет?
Не совсем понятно где они пересекаются на l3.

[5diezov]

Ну вот внезапно между интерфейсами перестали пакеты проходить, хотя ничего не трогал.
Хоть с правилами хоть без правил.

[Wexter]

5diezov, почитайте для начала что да как в сетях устроено, тогда 90% вопросов отпадут https://linkmeup.ru/sdsm/

[pr0l]

Wexter, изолировать нужно порты, а не сети. Иначе другая подсеть будет бегать.

[Wexter]

pr0l, задача стоит изолировать сети, да может у него несколько портов на каждую сеть будет

[pr0l]

Wexter, в теме "Как изолировать трафик на портах Mikrotik?"
в чем сложность изолировать кучу разных портов от других? про списки портов не читали?