Как заблокировать локальным пользователям доступ к некоторым другим локальным пользователям списками

@tigos1 · Регистрация: 14.12.2019

Author24 — интернет-сервис помощи студентам

Просьба помочь каким-то примером.

Пользуюсь свитчами микротами CRS3xx и CRS5xx
Роутер RB4011

До недавнего времени вся сеть сидела на каждом свитче в общем бридже с патчами между ними
Все видели всех

Но появилась необходимость сделать так чтобы никто из пользователей не видел никого, но при этом видел инет
И чтобы НЕКОТОРЫЕ пользователи могли работать друг с другом.

Думал что смогу режить проблему с помощью firewall raw, на одном из свитчей сделал сброс и quickset
наплодил бриджей с адресацией у каждого своей,
создалв firewall списки
с помощью raw разрешил что-то
с помощью raw запретил все (отдельным списком)

А потом обнаружил что RAW работает только для всех или ни для кого
И идея списков доступов под каждого абонента начала умирать.)

Помогите, пожалуйста решением, или хоть уверенно подтолкните

@Konstantin® · 11.09.2023, 07:53

Могу предположить, что Вам надо смотреть в сторону VLANов.
Если я прав, думаю более опытные участники подскажут как это правильно настроить, поскольку в VLANах, я сам как-то не особо.

@romsan · 14.09.2023, 09:17

Сообщение от tigos1

Пользуюсь свитчами микротами CRS3xx и CRS5xx

Сообщение от tigos1

Но появилась необходимость сделать так чтобы никто из пользователей не видел никого, но при этом видел инет, И чтобы НЕКОТОРЫЕ пользователи могли работать друг с другом.

только если все клиенты подключены именно к свитчу напрямую. Если после свитчей микротов будут стоять тупые свитчи, то работать запрет не будет.

Не понимаю - а зачем RAW? Что мешает отключить на портах HW и с помощью встроенного firewall на бридже разрулить прохождение трафика между портами?

@NoNaMe · 14.09.2023, 10:16

Кстати такую задачу можно решить ещё проще:

Код

/interface bridge filter
add action=drop chain=forward
/interface bridge settings
set use-ip-firewall=yes

Теперь клиенты видят только себя и GW. Для серверов SMB и серверов AD нужно будет дописать правила разрешения.

@tigos1 0 / 0 / 0 Регистрация: 14.12.2019 Сообщений: 1
		1
	Как заблокировать локальным пользователям доступ к некоторым другим локальным пользователям списками 10.09.2023, 04:37. Показов 503. Ответов 3 Метки access, lists, mikrotik (Все метки) Просьба помочь каким-то примером. Пользуюсь свитчами микротами CRS3xx и CRS5xx Роутер RB4011 До недавнего времени вся сеть сидела на каждом свитче в общем бридже с патчами между ними Все видели всех Но появилась необходимость сделать так чтобы никто из пользователей не видел никого, но при этом видел инет И чтобы НЕКОТОРЫЕ пользователи могли работать друг с другом. Думал что смогу режить проблему с помощью firewall raw, на одном из свитчей сделал сброс и quickset наплодил бриджей с адресацией у каждого своей, создалв firewall списки с помощью raw разрешил что-то с помощью raw запретил все (отдельным списком) А потом обнаружил что RAW работает только для всех или ни для кого И идея списков доступов под каждого абонента начала умирать.) Помогите, пожалуйста решением, или хоть уверенно подтолкните 0

@Konstantin® 388 / 165 / 29 Регистрация: 24.10.2013 Сообщений: 985
	11.09.2023, 07:53	2
	Могу предположить, что Вам надо смотреть в сторону VLANов. Если я прав, думаю более опытные участники подскажут как это правильно настроить, поскольку в VLANах, я сам как-то не особо. 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	14.09.2023, 09:17	3
	Сообщение от tigos1 Пользуюсь свитчами микротами CRS3xx и CRS5xx Сообщение от tigos1 Но появилась необходимость сделать так чтобы никто из пользователей не видел никого, но при этом видел инет, И чтобы НЕКОТОРЫЕ пользователи могли работать друг с другом. только если все клиенты подключены именно к свитчу напрямую. Если после свитчей микротов будут стоять тупые свитчи, то работать запрет не будет. Не понимаю - а зачем RAW? Что мешает отключить на портах HW и с помощью встроенного firewall на бридже разрулить прохождение трафика между портами? 0

@NoNaMe vita et mortuus 1800 / 700 / 152 Регистрация: 10.06.2009 Сообщений: 2,741
	14.09.2023, 10:16	4
	Кстати такую задачу можно решить ещё проще: Код /interface bridge filter add action=drop chain=forward /interface bridge settings set use-ip-firewall=yes Теперь клиенты видят только себя и GW. Для серверов SMB и серверов AD нужно будет дописать правила разрешения. 1