Portál AbcLinuxu, 6. června 2024 06:20


Dotaz: Mikrotik - schování sítí

5.11.2019 19:30 __blr__
Mikrotik - schování sítí
Přečteno: 417×
Odpovědět | Admin
Zdravím,

mám na Mikrotiku x sítí (v rámci VLAN). První síť má VLAN 10 a IP rozsah 192.168.10.0/24. Druhá síť má VLAN 20 a IP rozsah 192.168.20.0/24.

Komunikace zařízení ve VLAN 10 s VLAN 20 je zakázána pravidlem:

add action=drop chain=forward in-interface-list=LAN-vlans out-interface-list=LAN-vlans

přičemž v LAN-vlans jsou interfaci pro VLANY 10 a 20.

To funguje (resp. komunikace nefunguje - tak to chci)

Nicméně na Mikrotiku ještě běží DHCP server, který pro jednotlivé VLAN přiřazuje IP adresy. Pokud jsem zařízení v sítí VLAN 20, např. 192.168.20.100 a dám ping na "192.168.10.1" (IP VLAN 10 interfacu Mikrotiku), tak dostanu od Mikrotiku odpověď. Čili lze docela snadno zjistit, jaké sítě na Mikrotiku běží (z TTL).

Jak toto zakážu?

Díky

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Max avatar 5.11.2019 20:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Mikrotik - schování sítí
Odpovědět | | Sbalit | Link | Blokovat | Admin
Dropneš i komunikaci mezi segmenty.
+ si nezapomeň nastavit i z jakých portů / vlan se smí připojovat na MACSERVER.
Zdar Max
Měl jsem sen ... :(
Řešení 1× (MMMMMMMMM)
5.11.2019 21:40 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Mikrotik - schování sítí
Odpovědět | | Sbalit | Link | Blokovat | Admin 
add action=drop chain=input in-interface=vlan-10 dst-address=!192.168.10.1
add action=drop chain=input in-interface=vlan-20 dst-address=!192.168.20.1
6.11.2019 08:29 __blr__
Rozbalit Rozbalit vše Re: Mikrotik - schování sítí
Odpovědět | | Sbalit | Link | Blokovat | Admin
Díky!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.