Indice   FAQ  
Iscriviti  Login
Indice Networking & Software di geolocalizzazione Reti LAN

bloccare comunicazion da una rete all'altra ma non viceversa

Argomenti basati sulle reti &........problemi a riguardo

bloccare comunicazion da una rete all'altra ma non viceversa

Messaggioda valerio.93 » gio 9 apr 2020, 14:21

salve ragazzi! ho un problema che credevo di aver risolto leggendo sul forum invece nulla..
ho un 951 dove la porta 1 è collegata alla wan, porta 2 e 3 sono nel bridge lan1 classe 192.168.2.0/24 e la porta 4, 5 e wlan1 sono bridge lan2 classe 192.168.3.0/24.

ho la necessità che la LAN1 non deve comunicare con la LAN2, mentre la LAN2 può comunicare con la LAN1

leggendo ho visto che di solito consigliano di mettere la regole sul firewall dove droppo le connessioni dalla lan1 alla lan2. però questo mi va a bloccare le connessione anche dalla 2 alla 1.. ho provato ad aggiungere la regola mettendola prima del drop dove vado a daccettare le connessione tra la 2 e la 1.. ma uguale non mi funziona..
vi posto la mia configurazione
Codice: Seleziona tutto
/interface ethernet
set [ find default-name=ether1 ] name=WAN
/interface bridge
add name="LAN 1"
add name=LAN2
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=PROVA22
/ip pool
add name=dhcp_pool1 ranges=192.168.2.2-192.168.2.254
add name=dhcp_pool2 ranges=192.168.3.2-192.168.3.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface="LAN 1" name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=LAN2 name=dhcp2
/interface bridge port
add bridge="LAN 1" interface=ether2
add bridge="LAN 1" interface=ether3
add bridge=LAN2 interface=wlan1
add bridge=LAN2 interface=ether4
add bridge=LAN2 interface=ether5
/ip address
add address=192.168.2.1/24 interface="LAN 1" network=192.168.2.0
add address=192.168.3.1/24 interface=LAN2 network=192.168.3.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=WAN
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
add address=192.168.3.0/24 gateway=192.168.3.1
/ip firewall filter
add action=drop chain=forward in-interface="LAN 1" out-interface=LAN2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=Linkwave
/system leds
set 5 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
valerio.93
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 25
Iscritto il: mer 16 nov 2016, 22:56
Uso routerOS dalla Versione: v3.x

Re: bloccare comunicazion da una rete all'altra ma non viceversa

Messaggioda radiation » gio 9 apr 2020, 14:27

LAvora con le subnet.
Source Address la subnet della LAN che cvuoi bloccare
Destination la subnet della LAN
Action DROP
Andrea
Avatar utente
radiation
Staff rosIT
Staff rosIT
 
Messaggi: 486
Iscritto il: mer 11 dic 2013, 20:00
Uso routerOS dalla Versione: v3.x
Certificazioni Mikrotik: MTCNA, MTCWE
Preferred Training Centre: Nimwave

Re: bloccare comunicazion da una rete all'altra ma non viceversa

Messaggioda valerio.93 » gio 9 apr 2020, 15:13

io vorrei bloccare la 192.168.2.0/24 LAN1 verso la 192.168.3.0/24 LAN2

ho modificato la regola con questa
Codice: Seleziona tutto
/ip firewall filter
add action=drop chain=forward dst-address=192.168.3.0/24 src-address=192.168.2.0/24


ma nulla.. sono collegato alla LAN2, provo ad aprire un client mikrotik della LAN1 da pagina web ma non me lo apre. solita cosa se provo al contrario. :humm:
valerio.93
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 25
Iscritto il: mer 16 nov 2016, 22:56
Uso routerOS dalla Versione: v3.x

Re: bloccare comunicazion da una rete all'altra ma non viceversa

Messaggioda valerio.93 » gio 9 apr 2020, 15:30

credo di aver risolto in questa maniera
/ip firewall filter
add chain=forward connection-state=established dst-address=192.168.3.0/24 log=\
yes src-address=192.168.2.0/24
add action=drop chain=forward dst-address=192.168.3.0/24 log=yes src-address=\
192.168.2.0/24


ho messo la regole che deve accettare le connessioni dalla 1 alla 2 solo se la connessione è attiva, non le nuove connessioni. in questa maniera mi sembra funzionare.
valerio.93
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 25
Iscritto il: mer 16 nov 2016, 22:56
Uso routerOS dalla Versione: v3.x

Re: bloccare comunicazion da una rete all'altra ma non viceversa

Messaggioda TSI-Troccoli » gio 9 apr 2020, 17:05

Oppure con un'unica regola

/ip firewall filter
add chain=forward connection-state=new dst-address=192.168.3.0/24 src-address=192.168.2.0/24 action=drop
Avatar utente
TSI-Troccoli
MikroTIK Guru
MikroTIK Guru
 
Messaggi: 184
Iscritto il: dom 20 mar 2016, 21:42
Uso routerOS dalla Versione: v5.x

Re: bloccare comunicazion da una rete all'altra ma non viceversa

Messaggioda valerio.93 » gio 9 apr 2020, 19:57

vero, ci avevo pensato dopo che potevo fare tutto con una sola regola come hai detto te, però ancora non avevo provato!
:thanks:
valerio.93
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 25
Iscritto il: mer 16 nov 2016, 22:56
Uso routerOS dalla Versione: v3.x



Torna a Reti LAN

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti