AIUTINO FIREWALL FILTER

[ciccioprofumato]

questo lo avevo capito, quello che non capisco e' il perche' non navigo, allora x intenderci ho creato le vlan, dato a ogniuna di loro ip, nel ppp autentificazione pppoe con server su porta lan1, su lan 2 associato le vlan, poi la lan 2 va allhup 8 pc, 4 con classe ip 192.168.1.0 e altri 4 192.168.8.0

configurazione pc
ip - 192.168.1.?
255.255.255.0
gateway - 192.168.1.1 che poi sarebbe l'indirizzo che ho dato alla vlan x la classe appunto 192.168.1.0

fatto tutto cio' non navigo, non riesco a pingare neanche il 192.168.1.1

dove sbaglio ?

ti ricordo che io ho solo una rb, e non 4 come si vede nella figura che hai postato tu, la mia e' solo una 433ah dove sulla lan1 si autentifica sul server pppoe e la 2 va sullhup con tutti i pc collegati, io vorrei semplicemente isolare le 2 class..

[ppraz]

Ciao,
lo switch che hai usato è correttamente configurato?
Mi spiego, è uno switch che supporta le VLAN o no?
Se no non puoi fare nulla, se le supporta allora la porta che va verso la RB deve essere configurata con le due VLAN (1 e 2 tanto per esempio) "tagged"
Poi collegherai i tuoi PC alle porte configurate su VLAN 1 o 2 in base alle tue esigenze, in maniera "untagged" quindi senza il campo VLAN-id nel frame ethernet.
Sulla RB433 assegnerai l'IP 192.168.1.1 sulla interfaccia VLAN1, l'ip 192.168.4.1 sulla interfaccia VLAN2
Sul firewall della RB433 creerai due regole di masquerade, una con src-address 192.168.1.0/24 l'altra con 192.168.4.0/24
La rb433 deve avere le sue rotte e navigare correttamente.

Per isolare infine le due classi una dall'altra devi mettere due regole
src-address 192.168.1.0/24 dst-address 192.168.4.0/24 drop
src-address 192.168.4.0/24 dst-address 192.168.1.0/24 drop

[ciccioprofumato]

Ecco cosa non mi tornava, il mio switch non supporta le vlan x questo mi suonava strano il tutto , ma avendo un'altro switch e mettendone una su di una porta e l'altro sul l'altra dovrei risolvere vero? Ora mi chiedo viso che pultroppo non riesco ad andare alla rb con un'altro cavo LAN , ma ho a disposizione un'altra rb , potrei uscire dallo switch che c'è attualmente lasciare i pc di una classe sullo spesso , e poi con una porta andare all'altra rb e uscire per andare all'altro switch e mettere gli altri pc dell'altra classe ?

[ppraz]

di che rb si tratta?
potresti fare così: l'unico cavo che esce dalla 433 lo mandi all'altra rb (diciamo un'altra 433)
su entrambi gli apparati imposti (sulla porta di interconnessione) le due vlan, così le stai propagando da un punto all'altro.
sulla seconda rb433 configurerai un'altra ethernet in vlan 1 e un'altra ancora in vlan2, come? semplicemente bridgando una ethernet con una vlan.
quindi attacchi uno switch a una porta della 433 e tutte le porte di quello switch saranno nella stessa vlan.
Così ovviamente hai bisogno, oltre che della 433 iniziale, anche di una seconda rb con almeno 3 ethernet e di 2 switch "unmanaged"
Sicuro che ti convenga? magari trovi uno switch che supporta le vlan a poco prezzo e risolvi in maniera più "pulita"

[ciccioprofumato]

si sarebbe il caso sicuramente ke ne trovi uno che supporta le vlan, ma il materiale che cio' e' gia' in casa, e vorrei sfruttarlo senza comprare altro.. infatti con la seconda rb ci ero riuscito, ma ne volevo usare una soltanto, se il discorso era fattibile chiaramente, cmq ti ringrazio per le tue info, 6 stato molto gentile. grazie e buon natale...

[El Berto]

Magari potete darmi una mano, ho un po'di confusione con le regole del firewall....

Ho l'interfaccia WAN che accede a internet, voglio permettere l'accesso al router (dall'esterno) solo da una specifica rete e bloccare tutti i rimanenti tentativi di accesso.

Quindi ho provato a mettere queste regole di firewall con In Interface=WAN:

Codice: Seleziona tutto

- chain: input, Src. Address= 2.7.42.0/24, Connection State: new, Action: Allow
- chain: input, Src. Address= 2.7.42.0/24, Connection State: established, Action: Allow
- chain: input, Src. Address= 2.7.42.0/24, Connection State: related, Action: Allow
- chain: input, Action: drop

Però se mi collego sulla LAN non riesco ad accedere all'esterno, e neanche da terminale sul router.
Mentre dalla rete esterna 2.7.42.0/24 riesco a entrare nel router.
Avevo già fatto una configurazione del genere e funzionava, cos'è che sto dimenticando?
Grazie.

[figheras]

Deve essere una regola del genere:

Codice: Seleziona tutto

/ip firewall filter
add action=accept chain=input disabled=no in-interface=wan src-address=2.7.42.0/24
add action=drop chain=input disabled=no in-interface=wan

In questo modo blocchi qualsiasi servizio in ingresso al router...ti consiglio di fare delle regole specifiche e piu mirate per ogni tipo di servizio.