Микротик. 4 подсетей. Как правильно сделать?

Question

[AntonJZ]

Доброго времени суток !

Задача не думаю, что простая ( но для меня как далекому от этого темы очень сложная)
Имеется микротик.
Есть интернет.
Есть сеть ЛВС 192.168.80.0/24
Надо еще добавить 3 подсети, что бы они друг друга не видели, но могли обменяться файлами через NAS (обменник, подключен как сетевой диск) и иметь интернет.
NAS находится по адресу 192.168.80.28

Интернет (порт №1)
ЛВС 192.168.80.0/24 (порт 2)
1. подсеть 192.168.90.0/27 (порт №3)
2 подсеть 192.168.100.0/27 (порт №4)
3 подсеть 192.168.110.0/27 (порт №5)

Помогите пожалуйста.

Answer 1

[Dmitry]

С добавлением подсетей, надеюсь, справитесь. А ограничение можно сделать так.

/ip firewall address-list add address=192.168.90.0/27 list=privatelans
/ip firewall address-list add address=192.168.100.0/27 list=privatelans
/ip firewall address-list add address=192.168.110.0/27 list=privatelans
/ip firewall filter add action=reject chain=forward src-address-list=privatelans dst-address-list=privatelans

Первые три команды создадут адрес лист с изолированными подсетями. Четвертая команда добавит правило фильтра, запрещающее трафик между ними. Его необходимо поднять выше всех разрешающих правил. Если нет запрещающих правил в подсеть 192.168.80.0/24, то все три будут иметь к ней доступ.

Answer 2

[Diman89]

если в файрволле отсутствуют запрещающие правила - микротик по-умолчанию разрешит трафик между подсетями, соот-но вам нужно сделать такие правила (запрещающие) и сделать в них исключение в виде NAS

Comments

[AntonJZ]

Вы наверное говорите, о правилах в Route List --> Rules "unreachable"
Уточните пожалуйста как добавить в исключения ?

[Diman89]

AntonJZ, нет, о ip firewall filter. ниже коммен как примерно можно сделать, а исключение указывается с использованием "!" (без кавычек) в правиле (для ip\mac адреса NAS)

[nApoBo3]

AntonJZ, подобный вопрос показывает ваш уровень знаний по данному вопросу.
Или подтягивайте уровень или обратитесь к специалистам. Иначе накосячите.
Учитывая вопрос то ограничение доступа вы скорее всего завалите, где-нибудь, что-нибудь сделаете не так, а по сему или не мучайте микротик и пусть все работает из коробки, или учите.
Задача действительно очень и очень тривиальная.
Один из способов IP->Firewall->Firewall rules нужно создать правила forward где адрес назначения ваш nas, а адрес источника каждая ваша подсеть( получиться три правила, можно попробовать обойтись одним, но там менее тривиально будет ). + правило которое разрешает forward для установленных соединений. Плюс несколько правил которые запрещают forward во все подсети.
Важно, этот не обеспечит изоляцию клиентов между собой внутри одной подсети.

[AntonJZ]

nApoBo3, спасибо !

Answer 3

[Wexter]

https://linkmeup.ru/blog/14.html

Comments

[AntonJZ]

Был я там.
И данный сайт в избранных.
Но я здесь за подсказкой, поддержкой в решение своей задачи.(для не которых это простой вопрос)
Хотелось бы получить ответы в виде "надо там добавить это" и т д.

[Wexter]

AntonJZ, вы хотите чтобы за вас решили эту задачу, с таким надо идти не на тостер, а на фрилансим

[AntonJZ]

Wexter, спасибо, я Вас понял.