Как работает блокировка маршрутизации Inter VLAN?

336
wunderlinej

У меня есть VLAN10 для администратора и VLAN20 для офиса в другой подсети. В настоящее время они автоматически маршрутизируются маршрутизатором. Я хочу, чтобы администратор имел доступ к офисным материалам, но не хочу, чтобы офис имел доступ к административным материалам.

Я создал брандмауэр, блокирующий vlan office для администратора. Но это смущает меня, администратор все еще сможет получить доступ к офису? Разве это не должно быть двустороннее соглашение? Допустим, администратор устанавливает соединение с офисом, но офис не может ответить, технически администратор также не может общаться с офисом.

Я использую микротик со следующим правилом /ip firewall filter add chain=forward action=drop in-interface=vlan-20 out-interface=vlan-10 comment="Block Office to Admin"

0

1 ответ на вопрос

1
grawity

Но это смущает меня, администратор все еще сможет получить доступ к офису?

Зависит от других правил, присутствующих в цепочке. Только с этим правилом нет.

Допустим, администратор устанавливает соединение с офисом, но офис не может ответить, технически администратор также не может общаться с офисом.

Поэтому вам нужно разрешить только ответы в этом направлении. Для этого есть два способа ... Проще всего использовать межсетевой экран RouterOS с отслеживанием состояния, который отслеживает, какие пакеты принадлежат каким соединениям. Добавьте правило пересылки, которое разрешает пакеты по их состоянию :

connection-state=established,related action=accept

Помните, что правила брандмауэра обрабатываются сверху вниз, поэтому вам нужно обратить внимание на порядок, в котором они размещены. Конкретные правила принятия будут работать только в том случае, если они размещены перед общим запретом.

Похожие вопросы