Недавно я получил маршрутизатор Mikrotik для своей сети, и я хочу создать 3 сети, которые изолированы друг от друга, но у всех есть доступ к Интернету:
Я смог настроить эти три сети, используя мосты, следуя этим инструкциям, а также имитируя конфигурацию по умолчанию, поставляемую с маршрутизатором.
Похоже, теперь мне нужно определить правила брандмауэра, чтобы заблокировать трафик между мостами, и именно здесь мне нужна небольшая помощь. Насколько я понимаю, программное обеспечение брандмауэра Mikrotik основано на Linux iptables.
Кажется, что есть два способа сделать это: конфигурация основного брандмауэра /ip firewall filterи секция для моста /interface bridge filter. Какой из них лучше всего использовать? Каковы плюсы и минусы каждого?
Я экспериментирую с фильтрами моста, но рядом со всеми моими правилами есть небольшая иконка полосы движения, которая мне не нравится . Я не могу найти никакого объяснения того, что означает значок.
Как мне настроить правила? Было бы более легко создать группу отдельных цепочек для каждого моста? Если так, как должны быть организованы цепочки?
Похоже, мне нужно определить forwardправила для этого. Есть ли какие- inputто outputправила или правила, которые мне также понадобятся?
У меня должны быть правила, совпадающие на мостах / интерфейсах (т. Е. На мосту, на мосту, на интерфейсе WAN и т. Д.), Правильно? Например, чтобы блокировать пакеты из основной сети в сеть домашней автоматизации, мне нужны правила, такие как in-bridge = main out-bridge = home_automation action = DROP, верно?
Indeed, Mikrotik devices does routing automatically between networks. Consider the two networks 10.0.0.1/16 and 192.168.1.0/24, for example. If you want to block traffic between those two, just add two firewall rules
ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop so you drop packets in both directions.