Como isolar redes com um roteador Mikrotik?

5

Eu tenho recentemente um roteador Mikrotik para minha rede, e eu quero criar 3 redes isoladas de cada outros, mas todos têm acesso à internet:

  1. A rede "principal" para PCs, etc.
  2. Uma rede para dispositivos / aparelhos de automação residencial. Eu não quero que esses hosts sejam capazes de acessar as outras redes, mas eu quero que alguns hosts específicos na rede principal possam acessar hosts específicos nesta rede.
  3. Uma rede de convidados para visitantes. Quero que os hosts dessa rede tenham acesso somente à Internet e sejam completamente isolados das outras redes.

Eu consegui configurar essas três redes usando pontes seguindo estas instruções e também imitando a configuração padrão que acompanha o roteador.

Parece que agora preciso definir regras de firewall para bloquear o tráfego entre as pontes e é aqui que preciso de uma pequena ajuda. Meu entendimento é que o software de firewall do Mikrotik é baseado no Linux iptables.

  1. Parece haver dois lugares para fazer isso: a configuração principal do firewall em /ip firewall filter e uma seção específica da ponte em /interface bridge filter . Qual deles seria o melhor para usar? Quais são os prós e contras de cada um?

  2. Estou experimentando os filtros de ponte, mas todas as minhas regras têm um pequeno ícone da barra de tráfego ao lado deles, o que não parece bom para mim. Não consigo encontrar nenhuma explicação sobre o significado do ícone.

  3. Como devo configurar as regras? Seria mais gerenciável criar um monte de correntes separadas para cada ponte? Se sim, como as cadeias devem ser organizadas?

  4. Parece que preciso definir as regras forward para isso. Existe alguma regra input ou output que eu precisaria também?

  5. Eu deveria ter as regras correspondentes nas pontes / interfaces (ou seja, ponte, out-bridge, interface WAN, etc.), correto? Por exemplo. para bloquear pacotes da rede principal para a rede de automação residencial, eu precisaria de uma regra que fosse algo como in-bridge = principal out-bridge = home_automation action = DROP, correto?

por Kaypro II 03.01.2016 / 01:10

1 resposta

3

Na verdade, os dispositivos Mikrotik fazem roteamento automaticamente entre redes. Considere as duas redes 10.0.0.1/16 e 192.168.1.0/24, por exemplo. Se você quiser bloquear o tráfego entre esses dois, basta adicionar duas regras de firewall

ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop

então você solta pacotes em ambas as direções.

    
por 04.01.2016 / 13:18