5
Kommunikation innerhalb des gleichen Subnetztes via Mikrotik filtern
Hallo,
gibt es bei einem MikroTik RouterBOARD RB2011UiAS-2HnD-IN die Möglichkeit, innerhalb des gleichen Subnetztes die Kommunikation zwischen zwei Geräten zu filtern - wenn ja, wie? Auf basis von MAC-Adressen, oder auch via IP?
Habe bis jetzt in der Firewall-Konfiguration verschiedene Settings auf basis von MAC-Adressen ausprobiert. Hat bis jetzt allerdings keine Wirkung gezeigt...
LG
gibt es bei einem MikroTik RouterBOARD RB2011UiAS-2HnD-IN die Möglichkeit, innerhalb des gleichen Subnetztes die Kommunikation zwischen zwei Geräten zu filtern - wenn ja, wie? Auf basis von MAC-Adressen, oder auch via IP?
Habe bis jetzt in der Firewall-Konfiguration verschiedene Settings auf basis von MAC-Adressen ausprobiert. Hat bis jetzt allerdings keine Wirkung gezeigt...
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280368
Url: https://administrator.de/contentid/280368
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
nope das kannst du so nicht mit der Firewall machen wenn zwei Clients in der selben Broadcast Domain liegen, ist ja auch klar da die Clients direkt miteinander kommunizieren ohne Beteiligung des MK! Die Lösung: VLANs nutzen, die kannst du dann mit der Firewall untereinander beschränken...
Gruß jodel32
nope das kannst du so nicht mit der Firewall machen wenn zwei Clients in der selben Broadcast Domain liegen, ist ja auch klar da die Clients direkt miteinander kommunizieren ohne Beteiligung des MK! Die Lösung: VLANs nutzen, die kannst du dann mit der Firewall untereinander beschränken...
Gruß jodel32
Zitat von @114757:
nope das kannst du so nicht mit der Firewall machen wenn zwei Clients in der selben Broadcast Domain liegen, ist ja auch klar da
die Clients direkt miteinander kommunizieren ohne Beteiligung des MK!
Naja, dachte dabei an eine Layer-2-Firewall, da beide Geräte den Switch des MT verwenden...nope das kannst du so nicht mit der Firewall machen wenn zwei Clients in der selben Broadcast Domain liegen, ist ja auch klar da
die Clients direkt miteinander kommunizieren ohne Beteiligung des MK!
Die Lösung: VLANs nutzen, die kannst du dann mit der Firewall untereinander beschränken...
Dann habe ich aber verschiedene Subnetzte, was ich vermeiden wollte. Außer PVLANs - sofern der MT so, oder so was ähnliches kann?
Hi Teret,
ich vermute mal deine Clients stecken nicht direkt an der FireWall sondern an einem Switch davor?
(Edit: hast ja geschrieben die stecken im MK, ändert aber nichts)
Dann ist jedwede Regel in der FireWall natürlich nutzlos, da wie jodel schon richtig gesagt hat, die Clients in ihrem Subnetz direkt kommunizieren und nur wenn Sie in eine anderes Netz gehen, müssen ihr Standard Gateway ansprechen.
Wenn du gleiche Subnetze beibehalten willst, wäre der einzige Weg ein managebaren Switch mit ACL Listen einzusetzen.
Dort hat dann jeder Client seinen Port und du kannst auf MAC oder IP Basis mit einer ACL pro Port eingreifen.
Das ganze ist natürlich nicht so flexibel wie eine FireWall Regel. Was du in die ACL schreibst bezieht sich immer strikt auf MAC/IP und Port etc..
Aber falls du verhindern willst das ein Client einen anderen "sieht" oder grobe Ports einschränken willst wäre das der Weg.
Falls du nur einen "dummen" switch hast. Die Sg200er Serie von "Cisco" wäre für recht kleines Geld das Mittel der Wahl. Oder natürlich jeder andere managbare Switch.
Falls du einen Switch der SG300 Serie kaufst hast du auch für später die Möglichkeit diesen mal als Router zwischen VLANs einzusetzen, da dieser auch einen L3 Mode unterstützt.
Und am Rande: VLANs machen eigentlich fast immer Sinn. Ausgenommen Anwendungen die dringend über Broadcasts funktionieren.
Lg
Theo
ich vermute mal deine Clients stecken nicht direkt an der FireWall sondern an einem Switch davor?
(Edit: hast ja geschrieben die stecken im MK, ändert aber nichts)
Dann ist jedwede Regel in der FireWall natürlich nutzlos, da wie jodel schon richtig gesagt hat, die Clients in ihrem Subnetz direkt kommunizieren und nur wenn Sie in eine anderes Netz gehen, müssen ihr Standard Gateway ansprechen.
Wenn du gleiche Subnetze beibehalten willst, wäre der einzige Weg ein managebaren Switch mit ACL Listen einzusetzen.
Dort hat dann jeder Client seinen Port und du kannst auf MAC oder IP Basis mit einer ACL pro Port eingreifen.
Das ganze ist natürlich nicht so flexibel wie eine FireWall Regel. Was du in die ACL schreibst bezieht sich immer strikt auf MAC/IP und Port etc..
Aber falls du verhindern willst das ein Client einen anderen "sieht" oder grobe Ports einschränken willst wäre das der Weg.
Falls du nur einen "dummen" switch hast. Die Sg200er Serie von "Cisco" wäre für recht kleines Geld das Mittel der Wahl. Oder natürlich jeder andere managbare Switch.
Falls du einen Switch der SG300 Serie kaufst hast du auch für später die Möglichkeit diesen mal als Router zwischen VLANs einzusetzen, da dieser auch einen L3 Mode unterstützt.
Und am Rande: VLANs machen eigentlich fast immer Sinn. Ausgenommen Anwendungen die dringend über Broadcasts funktionieren.
Lg
Theo
Naja, dachte dabei an eine Layer-2-Firewall, da beide Geräte den Switch des MT verwenden...
In dem Fall könnte man auf dem MK zwischen den beiden Ports ein Bridge-Interface erzeugen und auf der Bridge den Packet-Filter nutzen (use-ip-firewall = yes), musst du mal ausprobieren.VLANs sind aber immer vorzuziehen. Broadcastanwendungen wie UPnP lassen sich mit dem Mikrotik auch über VLAN-Grenzen hinweg einfach realisieren (Stichwort Multicast Proxy PIM/ IGMP Bridge mit mehreren VLANS in der selben Broadcast Domäne)
Hallo,
Switch ACLs könnten eventuell funktionieren um so etwas zu realisieren.
Gruß
Dobby
Switch ACLs könnten eventuell funktionieren um so etwas zu realisieren.
Gruß
Dobby
