Как разделить сеть?

Тема в разделе "Вопросы начинающих", создана пользователем Mook_34, 7 май 2015.

  1. Mook_34

    Mook_34 Участник


    Все сделал как написано .
    НО !!! в запрет попадают а пинги идут все равно =(

    Я хочу что бы vlan 200 не видел vlan300 а vlan 300 видел его.
     
    Последнее редактирование: 21 май 2015
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Ну да.
    Откуда и куда пингуете ?
    Дайте вывод команды /ip firewall export
     
  3. Mook_34

    Mook_34 Участник

    # may/22/2015 08:14:31 by RouterOS 6.28
    # software id = JYWZ-11XF
    #
    /ip firewall filter
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Port scanners to list " \
    protocol=tcp psd=21,3s,3,1
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" log=yes \
    protocol=tcp tcp-flags=fin,syn
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" log=yes \
    protocol=tcp tcp-flags=syn,rst
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" log=yes \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" log=yes \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
    add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" log=yes \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    add action=drop chain=input comment="dropping port scanners" log=yes \
    src-address-list="port scanners"
    add chain=forward comment="Ping is closed" connection-state=\
    established,related protocol=icmp
    add action=drop chain=forward connection-state=new in-interface=diz \
    out-interface=!wan protocol=icmp
    add chain=input comment="Accept related connections" connection-state=related
    add chain=forward connection-state=related
    add chain=input comment="Allow Ping" connection-state=established,related \
    disabled=yes protocol=icmp
    add chain=forward disabled=yes protocol=icmp
    add chain=input comment="Access to Mikrotik only from our local network" \
    src-address=172.16.2.0/24
    add chain=forward comment="Access to Internet from local network" \
    in-interface=all-vlan
    add chain=input comment="Allow UDP" disabled=yes protocol=udp
    add chain=forward disabled=yes protocol=udp
    add chain=input comment="Accept established connections" connection-state=\
    established
    add chain=forward connection-state=established
    add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid log=yes
    add action=drop chain=forward connection-state=invalid log=yes
    add action=drop chain=input comment="All other drop" log=yes
    add action=drop chain=forward log=yes
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=wan src-address=\
    172.16.1.0/24
    add action=masquerade chain=srcnat out-interface=wan src-address=\
    192.168.20.0/24
    add action=masquerade chain=srcnat out-interface=wan src-address=\
    172.16.2.0/24
    add action=masquerade chain=srcnat out-interface=wan src-address=\
    172.16.3.0/24
    Хотелось бы закрыть 192.168.20.0.24 от 172.16.2.0/24,172.16.1.0/24 но что бы две эти сети его видели .
    Т.е. пинг не шли с 192.168.20.0/24 на 172.16.2.0/24 и 172.16.1.0/24

    Спасибо ИЛЬЯ за помощь :)
     
    Последнее редактирование: 22 май 2015
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Ну тогда работаем с chain=forward
    1. connection-state=established,related action=accept
    2. srs-address 192.168.20.0/24 dst-address=172.16.2.0/24 action=drop
    3. src-address 192.168.20.0/24 dst-address=172.16.1.0/24 action=drop

    Имейте ввиду, что если вы пингуете адрес маршрутизатора, то это цепочка input.
     
  5. Mook_34

    Mook_34 Участник


    Добрый день.
    Нет ,все равно пинги идут как я только не пробывал . Может у меня натройка не правельна?
    Работает только через Route List но там почему то все боликурет
    т.е. я укзываю адрес srs-address=192.168.20.0/24 dst-address=172.16.2.0/24 action=unreachablre но тут с одной стороны пишет что сеть не доступна а с другой пишет что привышен интервал ожидание для запроса.Хотя я думаю что должна одна из сетей пиноваться.
     
    Последнее редактирование: 25 май 2015
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Вы что пингуете-то ? И откуда.
     
  7. Mook_34

    Mook_34 Участник

    я пытаюсь пинговать с 192.168.20.0/24 на 172.16.2.0/24 и обратно . Пинги все уходят
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Принципиальный момент:
    Вы пингуете с адреса микротика или на адрес микротика ?
    Или вы запускаете пинг между 2-мя хостами в этих подсетях ?
     
  9. Mook_34

    Mook_34 Участник

    я пингую с компа пользоватля на комп пользователя
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Такс...
    Трайсроут что показывает ?
    Прокси-арп не включен случайно нигде ?
    Счетчики на правилах меняются ?
    Ощущение, что трафик мимо проходит. Или вообще мимо маршрутизатора, или выше есть разрешающие правила.
     
  11. Mook_34

    Mook_34 Участник

    как проверить?
    нет
    да
    Да есть. Такое впечатление что скорость маленькая . При копирование на сервер не 1гб а значительно меньше .Все правило я выложил , больше не добавлял.
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    С ПК в одной сети на ПК в другой сети
    tracert -d IP_ADDRESS
     
  13. Mook_34

    Mook_34 Участник

    Это отпралено с 172.16.2.2
    C:\admin>tracert -d 192.168.20.245

    Трассировка маршрута к 192.168.20.245 с максимальным числом прыжков 30

    1 <1 мс <1 мс <1 мс 172.16.2.1
    2 <1 мс <1 мс <1 мс 192.168.20.245
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Очень странно. Я бы сказал, так не бывает. Стукнитесь в личку, если дадите удаленное управление, гляну что у вас там.
    Даже интересно стало.
     
  15. Mook_34

    Mook_34 Участник

    написал в личку
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Проблема решена.
     
  17. carnage

    carnage Новый участник

    Здравствуйте, ну дак как решили? У меня такая же ситуация, хочу 2 подсети отделить, что бы друг друга они не видели, а интернет обоим приходил по 1 каналу. 2 подсети подключены на разных интерфейсах
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Даете разные подсети на этих интерфейсах.
    Настраиваете файрволл блокируя forward между этими сетями.
     
  19. carnage

    carnage Новый участник

    Сделал разные подсети, 2 dhcp, всё работает, но в фаерволе когда выставил drop на forward между двумя интерфейсами , то микротик мне ответил типа нельзя, так как один их них мастер а второй слейв.
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    Так отделите Slave от Master в настройках интерфейса.