web-dev-qa-db-ja.com

Mikrotikルーターでネットワークを分離する方法

最近、ネットワークに Mikrotikルーター を取得しました。相互に分離されているが、すべてインターネットにアクセスできる3つのネットワークを作成します。

  1. PCなどの「メイン」ネットワーク.
  2. ホームオートメーションデバイス/アプライアンスのネットワーク。これらのホストが他のネットワークにアクセスできないようにしたいが、メインネットワーク上の特定のホストがこのネットワーク上の特定のホストにアクセスできるようにしたい。
  3. 訪問者のためのゲストネットワーク。このネットワーク上のホストにインターネットへのアクセスのみを許可し、他のネットワークから完全に分離したい。

ブリッジを使用してこれらの3つのネットワークをセットアップできました これらの手順 に従い、ルーターに付属のデフォルト構成を模倣しています。

ブリッジ間のトラフィックをブロックするファイアウォールルールを定義する必要があるようですが、ここで少し手助けが必要です。私の理解では、MikrotikファイアウォールソフトウェアはLinux iptablesに基づいています。

  1. これを行うには2つの場所があるようです:/ip firewall filterのメインファイアウォール構成と/interface bridge filterのブリッジ固有のセクション。どちらを使用するのが最適ですか?それぞれの長所と短所は何ですか?

  2. 私はブリッジフィルターを実験していますが、すべてのルールの横に トラフィックバーアイコン があり、見た目が良くありません。アイコンの意味の説明が見つかりません。

  3. ルールはどのように設定すればよいですか?ブリッジごとに別々のチェーンの束を作成する方が管理しやすいでしょうか?もしそうなら、チェーンはどのように編成されるべきですか?

  4. forwardルールを定義する必要があるようです。同様に必要なinputまたはoutputルールはありますか?

  5. ブリッジ/インターフェース(つまり、インブリッジ、アウトブリッジ、WANインターフェースなど))でルールを一致させる必要がありますか?正しいですか?たとえば、メインネットワークからホームへのパケットをブロックします自動化ネットワークの場合、in-bridge = main out-bridge = home_automation action = DROPのようなルールが必要になりますか?

7
Kaypro II

実際、Mikrotikデバイスはネットワーク間のルーティングを自動的に行います。たとえば、2つのネットワーク10.0.0.1/16と192.168.1.0/24について考えてみます。これら2つの間のトラフィックをブロックする場合は、2つのファイアウォールルールを追加するだけです

ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop

したがって、パケットを両方向にドロップします。

6