最近、ネットワークに Mikrotikルーター を取得しました。相互に分離されているが、すべてインターネットにアクセスできる3つのネットワークを作成します。
ブリッジを使用してこれらの3つのネットワークをセットアップできました これらの手順 に従い、ルーターに付属のデフォルト構成を模倣しています。
ブリッジ間のトラフィックをブロックするファイアウォールルールを定義する必要があるようですが、ここで少し手助けが必要です。私の理解では、MikrotikファイアウォールソフトウェアはLinux iptablesに基づいています。
これを行うには2つの場所があるようです:/ip firewall filter
のメインファイアウォール構成と/interface bridge filter
のブリッジ固有のセクション。どちらを使用するのが最適ですか?それぞれの長所と短所は何ですか?
私はブリッジフィルターを実験していますが、すべてのルールの横に トラフィックバーアイコン があり、見た目が良くありません。アイコンの意味の説明が見つかりません。
ルールはどのように設定すればよいですか?ブリッジごとに別々のチェーンの束を作成する方が管理しやすいでしょうか?もしそうなら、チェーンはどのように編成されるべきですか?
forward
ルールを定義する必要があるようです。同様に必要なinput
またはoutput
ルールはありますか?
ブリッジ/インターフェース(つまり、インブリッジ、アウトブリッジ、WANインターフェースなど))でルールを一致させる必要がありますか?正しいですか?たとえば、メインネットワークからホームへのパケットをブロックします自動化ネットワークの場合、in-bridge = main out-bridge = home_automation action = DROPのようなルールが必要になりますか?
実際、Mikrotikデバイスはネットワーク間のルーティングを自動的に行います。たとえば、2つのネットワーク10.0.0.1/16と192.168.1.0/24について考えてみます。これら2つの間のトラフィックをブロックする場合は、2つのファイアウォールルールを追加するだけです
ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop
したがって、パケットを両方向にドロップします。