Совсем голова никак не может додуматься.. Есть сеть поделенная на vlan-ы, все вланы сходятся на mikrotik и там маршрутизируются. В одном из вланов есть несколько машин, и я хочу каким-то образом настраивать доступы между ними.
Скажем, сделать так, чтобы на машину 10.1.1.10 по SMB можно подключиться только с 10.1.1.15 и 10.1.1.20, а с других нельзя и тому подобные.. Как бы я знаю, что это легко сделать на Микротике, но это один vlan, трафик не залетает даже на Микротик.
Подскажите, пожалуйста, возможные способы решения такого вопроса.
etoosamoe, при отсутствии во вселенной магии, трафик можно отфильтровать только там, где он проходит физически.
Через маршрутизатор трафик внутри одного броадкаст домена не проходит
Если ваш микротик еще и коммутатор в который физически вставляются кабеля, уходящие к 10.1.1.10 и к 10.1.1.15 и 10.1.1.20 (и в топологии отсутствуют другие коммутаторы, через которые может пойти трафик между ними), то возможны варианты. Читайте документацию на свитч по возможности фильтрации коммутируемых пакетов по информации из L3.
Zolg, etoosamoe, на CRS можно, но это создаст ощутимую нагрузку, а т.к. firewall обрабатывается на процессоре - пропускная способность коммутатора снизится до скорости линка между процессором и switch чипом
Wexter, proxy-arp предназначен совсем для другого.
Теоретически можно зставить его работать и внутри одного броадкаст домена, если отключить arp-ответчики на самих хостах. Но (в дополнение ко всем другим косякам) это security through obscurity, ибо зная mac-адрес сервера ничто не помешает клиенту обращаться к нему напрямую мимо всяких ограничительных мер.
Дмитрий, за microtik не скажу, но многие сугубо L2 (т.е. без функций маршрутизации) коммутаторы различных вендоров умеют в ACL заглядывать не только в ethernet-заголовок пакета, но и чуть дальше. т.е. под капотом это не полноценный L3 фаервол, а что-то вроде
если в пакете (байты по смещениям 12,13 == 0x08,0x00) и (байты по смещениям 26-92=0x0a,0x01,0x01,0x0f) и (байты по смещениям 30-33=0x0a,0x01,0x01,0x0a) - пакет отбросить
это выполняется на уровне коммутатора и производительность не просаживает
Внутри vlan'a ходит l2 трафик и ни по ip, ни по портам у вас блокировать не получится. Настраивайте фаервол на целевой машине. Или выносите машину в отдельный vlan.
Можно, конечно, и на уровне локального фаервола отрубить все попытки подключиться, но обычно это делается с помощью предоставления прав пользователям на подключение.
В винде пользователь должен зарегистрироваться на удаленном компе, чтобы получить доступ к его ресурсам. Просто не давайте этому пользователю доступ и все. В никсах, думаю, примерно та же схема.
