Vlan в микротик для разграничения доступа?

Question

[Maks1995]

Добрый день, имеется роутер rb2011 настроены на нем vlan, подключен коммутатор микротик CRS326, все хорошо виланы приходят на порты но на каждую подсеть возможно заходить и подключаться к шарам, камерам и т.д, как можно разграничить подсети?

Answer 1

[Дмитрий Шицков]

Правилами фильтра в Firewall. Разрешить всё что можно, дропнуть всё остальное. Рекомендуется проделывать в SafeMode

Answer 2

[paxlo]

https://aacable.wordpress.com/2015/06/02/mikrotik-...

Раздел "Block communication between all or specific VLAN Subnet"

Comments

[Maks1995]

# Masquerade rule to allow internet , wan link interface это правило обязательно? так как вланы имеют выход в инет!

[Maks1995]

Вообщем сделал так (дропаю пакеты на все вланы)
и разрешил доступ к одной подсети с определенного ip

/ip firewall filter
add action=accept chain=input comment=\
    "Allow all established/related  connections, input/forward" \
    connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment=\
    "Accept traffic from VLAN subnets to WAN" out-interface=wan
add action=accept chain=forward comment=\
    "Accept traffic from subnet 192.168.0.17 to subnet 10.10.10.0" \
    dst-address=10.10.10.0/24 src-address=192.168.0.17
add action=drop chain=input comment="Drop invalid connections input/forward" \
    connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Drop traffic from WAN connections input" \
    in-interface=wan log-prefix=2
add action=drop chain=input comment="DROP DNS FLOOD" dst-port=53 protocol=udp
add action=drop chain=forward dst-port=53 protocol=udp
add action=drop chain=input comment="DROP WINBOX CONNECT  WAN" dst-port=8291 \
    in-interface=wan protocol=tcp
add action=drop chain=input comment="DROP ICMP" in-interface=wan protocol=\
    icmp
add action=drop chain=forward in-interface=wan protocol=icmp
add action=drop chain=forward comment="DROP TO MAC" disabled=yes \
    src-mac-address=74:46:A0:77:B4:E3
add action=drop chain=forward comment="Drop traffic from subnet 10.10.0.0/16" \
    dst-address=10.10.0.0/16