Блокиране на достъп еднопосочно

[slayercho]

Здравейте,

Идеята е следната:

Имаме х86 машина с микротик 5.2 и настроени интерфейси

lan1 - internet

lan2 - 192.168.0.1/24

lan2 vlan100 - 192.168.100.1/24

Възможно ли е да огранича достъпа на адресите от vlan100 към 192.168.0.1/24, но да имам достъп до адресите в vlan100 от 192.168.0.1/24

Всички варианти които пробвах се стига дотам, че се реже достъпа винаги двупосочно ако задам 192.168.100.100 да не вижда 192.168.0.100 то и 192.168.0.100 не вижда 192.168.100.100

Моля за съдействие и идеи.

[gbdesign]

Възможно е да стане. Първо трябва да забраниш на втората мрежа да вижда първата. После трябва да настроиш Snat правило за първата към втората мрежа. Това е начина, за който се сещам. Пък ти сам ще помислиш, в коя верига и на кой интерфейс трябва да приложиш правилата.

Редактирано 17 Февруари, 2013 от gbdesign

[slayercho]

Блокирам vlan100 да не вижда 192.168.0.1 така:

add action=drop chain=forward disabled=no dst-address=192.168.0.0/24 src-address=192.168.100.0/24

Така се губи връзка между адресите от едната и другата мрежа. Какво е това Snat правило? В този случай може ли да кажеш какво трябва да е правилото 0.0/24 да вижда 100.0/24 еднопосочно?

Редактирано 17 Февруари, 2013 от slayercho

[Mupo neTkoB]

Какво значи според теб "да вижда"

Какъв протокол, каква услуга?

[slayercho]

Пълен достъп - всички протоколи, всички услуги, всички портове всичко, но да е еднопосочно 0.0/24 към 100.0/24 обратно да дава връща Request timed out.

[ushoplias]

add action=drop chain=forward disabled=no dst-address=192.168.0.0/24 src-address=192.168.100.0/24

да добавиш: connection-state=new