Недавно я получил маршрутизатор Mikrotik для своей сети, и я хочу создать 3 сети, которые изолированы друг от друга, но все имеют доступ к Интернету:
- "Основная" сеть для ПК и т.д.
- Сеть для устройств домашней автоматизации. Я не хочу, чтобы эти узлы имели доступ к другим сетям, но я хочу, чтобы некоторые конкретные узлы в основной сети имели доступ к определенным узлам в этой сети.
- Гостевая сеть для посетителей. Я хочу, чтобы узлы в этой сети имели только доступ к Интернету и были полностью изолированы от других сетей.
Я смог настроить эти три сети, используя мосты, следуя этим инструкциям, а также имитируя конфигурацию по умолчанию, поставляемую с маршрутизатором.
Похоже, теперь мне нужно определить правила брандмауэра, чтобы заблокировать трафик между мостами, и именно здесь мне нужна небольшая помощь. Насколько я понимаю, программное обеспечение брандмауэра Mikrotik основано на Linux iptables.
Кажется, что есть два способа сделать это: основная конфигурация брандмауэра в
/ip firewall filterи секция для конкретного моста в/interface bridge filter. Какой из них лучше всего использовать? Каковы плюсы и минусы каждого?Я экспериментирую с фильтрами моста, но рядом со всеми моими правилами есть небольшая иконка полосы движения , которая мне не нравится. Я не могу найти никакого объяснения того, что означает значок.
Как мне настроить правила? Было бы более легко создать группу отдельных цепочек для каждого моста? Если так, как должны быть организованы цепочки?
Похоже, мне нужно определить
forwardправила для этого. Есть ли какие-либо правилаinputилиoutputкоторые мне также понадобятся?У меня должны быть правила, совпадающие на мостах / интерфейсах (т. Е. На мосту, на мосту, на интерфейсе WAN и т.д.), Правильно? Например, чтобы блокировать пакеты из основной сети в сеть домашней автоматизации, мне нужны правила, такие как in-bridge = main out-bridge = home_automation action = DROP, верно?
