У меня есть две подсети xx10.0 и xx20.0, работающие под маршрутизатором Mikrotik, поэтому в GUI RouterOs я установил два dhcp на ether2 и на интерфейсах ether3 для созданных пулов адресов xx10.2 - 254 и xx20.2 - 254. Я добавил сети xx10.0/24 со шлюзом xx10.1 и xx20.0/24 со шлюзом xx20.1. На вкладке аренды я вижу, что аренда для обеих подсетей работает нормально.

Я хотел бы спросить, что мне не хватает, чтобы устройства в этих двух подсетях могли видеть другие из другой подсети.

Я думаю, что мог бы легко настроить брандмауэр для этих портов ether2,3, но я подумал, что разные подсети не должны видеть друг друга по умолчанию и что это будет излишним.

Я также подумал о вкладке Маршруты, которая автоматически делает динамические записи

  1. Dst. адрес - xx10.0/24, шлюз - доступ к ether2, pref source - xx10.1
  2. Dst. адрес - xx20.0/24, шлюз - доступ к ether3, pref source - xx20.1

Спасибо

1 ответ1

1

У вас есть маршрутизатор корпоративного уровня, который является полностью модульным, поэтому в отличие от стандартных маршрутизаторов интернет-шлюзов потребительского уровня, для вас вполне естественно, чтобы каждая подсеть видела друг друга.

Чтобы ограничить доступ к любой подсети, вы должны использовать брандмауэр. Настройка шлюза по умолчанию не поможет.

Если ваш маршрутизатор поддерживает маршруты для каждого интерфейса, вы можете попытаться удалить маршруты из eth2 -> xx20.x и из eth1 -> xx10.x, но это гораздо менее очевидно, чем установка пары межсетевых экранов, входящих на оба эти сервера eth2. и eth3 с одним правилом отбрасывания, чтобы уничтожить весь трафик, исходящий из другой сети.

Многие маршрутизаторы не поддерживают правила маршрутизации для каждого интерфейса, и маршруты относятся к пункту назначения, а не к источнику, поэтому, если вы уничтожите динамический маршрут до xx20.0, то трафик, поступающий по глобальной сети, никогда не будет доставлен в эту сеть.

Создание наборов правил брандмауэра на обоих интерфейсах локальной сети - лучший выбор для ваших нужд.

Итак, на Eth2 создайте набор правил брандмауэра со следующими спецификациями:

  Direction: IN
  Default Action: Accept
  Drop from x.x.20.x

и на Eth3:

  Direction: IN
  Default Action: Accept
  Drop from x.x.10.x

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .