Всем доброй ночи. Сильно прошу не пинать, если что, микрот в руки взял три недели назад и занимаюсь чисто эпизодически. Вопрос(проблема) в понимании как работает файрвал, но по-порядку: Есть пограничный микрот, который управляет сетью так около 600 компов. Внутренние интерфейсы заведены в бридж, на бридже виланы, на виланы свои пулы, все виланы натятся, и всё это работает. Файервал был настроен до меня, похож на дефолтный с добавлением анти-ДДоС. я его немного допилил - дропнул пинги снаружи на WAN. Все виланы выходят в интернет и видят друг дружку, т.е. файервал нормально открытый (В конце надо дропнуть всё явно не разрешённое, но до конца ещё не дошел). Задача - изолировать виланы друг от друга, некоторые(сегмент администрации и сегмент принтеров) должны друг друга видеть, а админский вилан должен иметь доступ ко всем. Ну, чтобы два вилана друг друга видели, это просто - создаю разрешающее правило в цепочке форвард, приписываю сорсом сеть одну, дестинейшем - сеть другую. Добавляю в конец дроп всего - работает, деактивирую конечный дроп(Он будет другой). Дать доступ админскому сегменту ко всем, но при этом, чтобы все в админский сегмент лазать не могли - это тоже решил: - создал адрес-лист со списком всех виланов, кроме админского. - запрещающее правило в цепочку инпут с галочкой "нью", где сорсом - адрес лист, а дестинейшеном - админская подсеть. Вуаля- из админской подсети все виланы пингуются, а из других подсетей админский не пингуется. И вот теперь надо изолировать виланы друг от друга. Самое простейшее, что приходит в голову - создать запрещающее правило, где и сорс и дест - уже имеющийся адрес лист. Попробовал - виланы в этом случае, вообще ничего не видят, даже собственный шлюз Но при этом, что удивительно, из вилана пингуется единственный шлюз другого вилана И вот в этом месте я не понял, как такое работает. Можно предположить, что входящий пакет пинга на собственный шлюз, попадает под запрет, ибо и в сорсе и в дест одинаковая сеть - это понятно. Но почему пингуется один-единственный чужой шлюз? Вообще ничего не понял В общем-то у меня два вопроса к гуру: 1) Почему пингуется чужой шлюз, как это может быть, в принципе? 2) Как бы мне минимумом правил(именно зпрещающих?) заизолировать виланы(из адрес листа) не затрагивая вышестоящие разрешающие правила? (В этом месте затупил на ровном месте) При этом, конечно, не желательно прописывать правила, где дропается трафик из одной сети в другую - получится слишком уж много правил. Или может есть какое-то другое решение? Прим: - Конфу не вышлю, даже не просите. - Сети виланов стандартные, типа: 192.168.10.0/24; 192.168.20.0/24; ... и т.д. - В цепочке инпут первое правило - разрешает establish,related; второе - дропает инвалидный трафик. Для всех интерфейсов.(Ну это так и должно быть, вроде бы?) - Микрот - 4011 с последней прошивкой.
Да, спасибо, полезная тема. Но, в общем-то проблема с многоправилавилами решилась - просто последний дроп всех, и даёт нужное. Выше него, всё что необходимо разрешено, а всё остальное нет. Действительно на ровном месте тупанул. Единственное что так и не понял, как так пинговался чужой шлюз, но сейчас не пингуется, так что и ладно.
