Как блокировать доступы внутри одного vlan?

Question

[etoosamoe]

Добрый день!

Совсем голова никак не может додуматься.. Есть сеть поделенная на vlan-ы, все вланы сходятся на mikrotik и там маршрутизируются. В одном из вланов есть несколько машин, и я хочу каким-то образом настраивать доступы между ними.

Скажем, сделать так, чтобы на машину 10.1.1.10 по SMB можно подключиться только с 10.1.1.15 и 10.1.1.20, а с других нельзя и тому подобные.. Как бы я знаю, что это легко сделать на Микротике, но это один vlan, трафик не залетает даже на Микротик.

Подскажите, пожалуйста, возможные способы решения такого вопроса.

Answer 1

[Zolg]

настраивайте фаервол там, где проходит трафик, т.е. в данном случае на машине 10.1.1.10

Comments

[etoosamoe]

Ну то есть я не совсем глупый, и правильно, что мне в голову не приходит никаких идей решить это средствами маршрутизатора?

[Zolg]

etoosamoe, при отсутствии во вселенной магии, трафик можно отфильтровать только там, где он проходит физически.
Через маршрутизатор трафик внутри одного броадкаст домена не проходит
Если ваш микротик еще и коммутатор в который физически вставляются кабеля, уходящие к 10.1.1.10 и к 10.1.1.15 и 10.1.1.20 (и в топологии отсутствуют другие коммутаторы, через которые может пойти трафик между ними), то возможны варианты. Читайте документацию на свитч по возможности фильтрации коммутируемых пакетов по информации из L3.

[Wexter]

etoosamoe, можно включить proxy-arp в vlan, но тогда весь трафик между хостами будет идти через маршрутизатор

[Дмитрий]

Zolg, etoosamoe, на CRS можно, но это создаст ощутимую нагрузку, а т.к. firewall обрабатывается на процессоре - пропускная способность коммутатора снизится до скорости линка между процессором и switch чипом

[etoosamoe]

Всем спасибо за ответы!

[Zolg]

Wexter, proxy-arp предназначен совсем для другого.
Теоретически можно зставить его работать и внутри одного броадкаст домена, если отключить arp-ответчики на самих хостах. Но (в дополнение ко всем другим косякам) это security through obscurity, ибо зная mac-адрес сервера ничто не помешает клиенту обращаться к нему напрямую мимо всяких ограничительных мер.

[Zolg]

Дмитрий, за microtik не скажу, но многие сугубо L2 (т.е. без функций маршрутизации) коммутаторы различных вендоров умеют в ACL заглядывать не только в ethernet-заголовок пакета, но и чуть дальше. т.е. под капотом это не полноценный L3 фаервол, а что-то вроде
если в пакете (байты по смещениям 12,13 == 0x08,0x00) и (байты по смещениям 26-92=0x0a,0x01,0x01,0x0f) и (байты по смещениям 30-33=0x0a,0x01,0x01,0x0a) - пакет отбросить
это выполняется на уровне коммутатора и производительность не просаживает

Answer 2

[Дмитрий]

Внутри vlan'a ходит l2 трафик и ни по ip, ни по портам у вас блокировать не получится. Настраивайте фаервол на целевой машине. Или выносите машину в отдельный vlan.

Answer 3

[DDwrt100]

Хотя, уже есть ответ. Добавлю чуть чуть. Для таких случаев есть mac acсess lists. Правда не все коммутаторы поддерживают.

Answer 4

[res2001]

Можно, конечно, и на уровне локального фаервола отрубить все попытки подключиться, но обычно это делается с помощью предоставления прав пользователям на подключение.
В винде пользователь должен зарегистрироваться на удаленном компе, чтобы получить доступ к его ресурсам. Просто не давайте этому пользователю доступ и все. В никсах, думаю, примерно та же схема.