Firewall Regel Gästenetz Mikrotik
Hi,
ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt.
Das Netzwerk besteht aus folgenden Segmenten:
192.168.10.0/24 - Internet
192.168.20.0/24 - Gäste
192.168.30.0/24 - Privat
192.168.40.0/24 - Sonos
192.168.50.0/24 - Gebäudetechnik
Nun möchte ich eine wirkungsvolle Firewall Regel im MK hinterlegen die dem Gästenetz nur den Weg ins Internet ermöglicht.
Folgendes habe ich ausprobiert:
chain = Input
src address = 192.168.20.0/24
dst. address = 192.168.0.0/16
Action - drop
genügt das ?
Ist es zudem empfehlenswert den Internetzugang zusätzlich zu beschränken ?
Sicherlich in einem Privathaushalt etwas überzogen, mich interessiertes wie man es richtig macht.
ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt.
Das Netzwerk besteht aus folgenden Segmenten:
192.168.10.0/24 - Internet
192.168.20.0/24 - Gäste
192.168.30.0/24 - Privat
192.168.40.0/24 - Sonos
192.168.50.0/24 - Gebäudetechnik
Nun möchte ich eine wirkungsvolle Firewall Regel im MK hinterlegen die dem Gästenetz nur den Weg ins Internet ermöglicht.
Folgendes habe ich ausprobiert:
chain = Input
src address = 192.168.20.0/24
dst. address = 192.168.0.0/16
Action - drop
genügt das ?
Ist es zudem empfehlenswert den Internetzugang zusätzlich zu beschränken ?
Sicherlich in einem Privathaushalt etwas überzogen, mich interessiertes wie man es richtig macht.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272699
Url: https://administrator.de/forum/firewall-regel-gaestenetz-mikrotik-272699.html
Ausgedruckt am: 25.12.2024 um 01:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
die Input-Chain ist dafür ungeeignet da die Pakete ja nicht an den Router selber sondern nur weitergeleitet werden, ich mach das immer so, wenn auf "ether1" der Internetzugang hängt (man beachte das Ausrufezeichen):
Gruß jodel32
-edit- kleine aber essentielle Korrektur
die Input-Chain ist dafür ungeeignet da die Pakete ja nicht an den Router selber sondern nur weitergeleitet werden, ich mach das immer so, wenn auf "ether1" der Internetzugang hängt (man beachte das Ausrufezeichen):
/ip firewall filter add chain=forward out-interface=!ether1 src-address=192.168.20.0/24 action=drop
-edit- kleine aber essentielle Korrektur
Hatte es noch nachkorrigiert, sorry schon zu spät , da vergisst man das wichtigste ...
Hallo,
Warum hast du denn dort Routen eingetragen? Deine Fritte kennt doch nur das Interne Interface (Pseudo MZ) und somit das 192.168.10.0/24. Mehr braucht die Fritte nicht zu kennen. Dein Routerboard macht doch das Routing deines Gastnetzes 192.168.20.0/24 zum 192.168.10.0/24 - oder nicht?
Das ist doch nur eine einfache Routerkaskade wobei dein Routerboard das Routing macht....
Gruß,
Peter
Warum hast du denn dort Routen eingetragen? Deine Fritte kennt doch nur das Interne Interface (Pseudo MZ) und somit das 192.168.10.0/24. Mehr braucht die Fritte nicht zu kennen. Dein Routerboard macht doch das Routing deines Gastnetzes 192.168.20.0/24 zum 192.168.10.0/24 - oder nicht?
Das ist doch nur eine einfache Routerkaskade wobei dein Routerboard das Routing macht....
Gruß,
Peter
Jetzt bin ich irritiert..... ich muss doch für jedes Subnetz eine Standard Route in der FB einrichten.....
Das ist auch RICHTIG, wenn du kein NAT auf dem Interface des MK machst welches zur Fritte geht und du normal routest.Wenn ich nun meine Regel unten dran hänge, geht auch das nicht mehr. Spricht da was dagegen ?
Wenn du normal routest, sicher, dann musst du die Subnetze schon im MK sperren, aber dann bitte auch in der Forward-Chain.Ich dachte Eingangs irrtümlich das die Fritte bei dir nur als Modem fungiert.
Wenn du hier stattdessen NAT auf ether1 gemacht hättest, wäre deine Regel überflüssig, aber doppeltes NAT wäre hier ja aus Performance-Sicht sowieso suboptimal.
Also, alles wird gut, und schöne Feiertage...
Gruß jodel32
Jetzt bin ich irritiert..... ich muss doch für jedes Subnetz eine Standard Route in der FB einrichten.....
Ja und nein...Ja wenn du es umständlich machen willst
Du kannst aber mit Summarization arbeiten in der Router sprich CIDR Maske:
ip route 192.168.0.0 255.255.192.0 <ip_adr_routerboard>
Das routet dann allle Subnetze von 192.168.0.0 bis 192.168.63.254 über das Routerboard.
eine 16er oder 17er Subnetzmaske geht natürlich auch wie du sie benutzt.
Alle Netze einzeln muss man in der Tat nicht eintragen.
Aber angenommen ich setze deine vorgeschlagene Route, meine FB befindet sich innerhalb des Bereichs der Route also 192.168.10.1 sperre ich mich in dem Moment von der FB aus, richtig ?
Nein, denn die Box nimmt hier immer vorrangig das längste Prefix aus den Einträgen der Routing-Tabelle, und das ist der schon in der Box vorhandene Eintrag 192.168.10.0/24 (Routing-Grundlagen) Die Reihenfolge nach der ein Router die Route wählt, ermittelt er nach folgenden Kriterien:
1. Prefix-Länge
2. Distanz
3. Metrik des Eintrags
Siehe auch
http://packetlife.net/blog/2010/aug/16/route-preference/
Gruß jodel32