У меня есть VLAN10 для администратора и VLAN20 для офиса в другой подсети. В настоящее время они автоматически маршрутизируются маршрутизатором. Я хочу, чтобы администратор имел доступ к офисным материалам, но не хочу, чтобы офис имел доступ к административным материалам.

Я создал брандмауэр, блокирующий vlan office для администратора. Но это смущает меня, администратор все еще сможет получить доступ к офису? Разве это не должно быть двустороннее соглашение? Допустим, администратор устанавливает соединение с офисом, но офис не может ответить, технически администратор также не может общаться с офисом.

Я использую mikrotik со следующим правилом /ip firewall filter add chain=forward action=drop in-interface=vlan-20 out-interface=vlan-10 comment="Block Office to Admin"

1 ответ1

1

Но это смущает меня, администратор все еще сможет получить доступ к офису?

Зависит от других правил, присутствующих в цепочке. Только с этим правилом нет.

Допустим, администратор устанавливает соединение с офисом, но офис не может ответить, технически администратор также не может общаться с офисом.

Поэтому вам нужно разрешить только ответы в этом направлении. Есть два пути для этого ... Проще всего использовать межсетевой экран RouterOS с отслеживанием состояния, который отслеживает, какие пакеты принадлежат каким соединениям. Добавьте правило пересылки, которое разрешает пакеты по их состоянию:

connection-state=established,related action=accept

Помните, что правила брандмауэра обрабатываются сверху вниз, поэтому вам нужно обратить внимание на порядок их размещения. Конкретные правила принятия будут работать только в том случае, если они помещены перед общим правилом запрета.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .