8
Layer 3 Switch mit IP- und Port-Filter?
Hallo,
ich muss jetzt mal doof fragen.
Meine Kenntnisse enden bei Switchen bei Stacking und Portbasiertes-VLAN.
Jetzt fragt mich ein Kunde nach einer Bastellösung.
Es gibt 2 getrennte Netzwerke. Nun soll ein PC aus Netzwerk1 auf einen Netzwerk-Drucker in Netzwerk2 zugreifen.
Dabei soll der PC aber nicht aus Netzwerk2 erreichbar sein dürfen.
Auch kann ich nichts an den Routern der beiden Netzwerke oder die IP des Druckers ändern.
Wenn ich einen Mikrotik Layer3-Switch als Verbindung einer 2. NIC beim PC nutzte, kann ich auf dem Switch einen IP- und Port-filter aktivieren?
Danke
Stefan
ich muss jetzt mal doof fragen.
Meine Kenntnisse enden bei Switchen bei Stacking und Portbasiertes-VLAN.
Jetzt fragt mich ein Kunde nach einer Bastellösung.
Es gibt 2 getrennte Netzwerke. Nun soll ein PC aus Netzwerk1 auf einen Netzwerk-Drucker in Netzwerk2 zugreifen.
Dabei soll der PC aber nicht aus Netzwerk2 erreichbar sein dürfen.
Auch kann ich nichts an den Routern der beiden Netzwerke oder die IP des Druckers ändern.
Wenn ich einen Mikrotik Layer3-Switch als Verbindung einer 2. NIC beim PC nutzte, kann ich auf dem Switch einen IP- und Port-filter aktivieren?
Danke
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 438367
Url: https://administrator.de/forum/layer-3-switch-mit-ip-und-port-filter-438367.html
Ausgedruckt am: 04.04.2025 um 21:04 Uhr
8 Kommentare
Neuester Kommentar
Ja, das kannst du !
Da rennt ja Router OS drauf und du hast das gesamte Featureset der Firewall zur Verfügung.
Ein Switch wäre fast zuviel. Eigentlich reicht auch ein Mikrotik hEX Router wenn dir ein Gig Link reicht. Du benötigst ja nur 2 Ports um die beiden Netze direkt zu verbinden und mehr nicht wenn du ohne 2.NIC arbeitest.
Theoretisch (und auch praktisch) kannst du aber den Switch und auch Router als 1 Port Durchlauferhitzer auch komplett sparen und das nur mit der lokalen Firewall des PC OS' an der 2. NIC des PCs machen wenn du mit einer 2ten NIC arbeitest. Der PC ist ja dann schon der "Router" zw. diesen beiden netzen. Wozu also einen noch dazu ?
Bei L3 Switch oder Router Einsatz brauchst du ja wiederum gar keine 2. NIC ! Da reicht der Router oder L3 Switch. Beides wäre eigentlich zuviel des Guten und doppelt gemoppelt.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Weisst du ja auch selber...
Da rennt ja Router OS drauf und du hast das gesamte Featureset der Firewall zur Verfügung.
Ein Switch wäre fast zuviel. Eigentlich reicht auch ein Mikrotik hEX Router wenn dir ein Gig Link reicht. Du benötigst ja nur 2 Ports um die beiden Netze direkt zu verbinden und mehr nicht wenn du ohne 2.NIC arbeitest.
Theoretisch (und auch praktisch) kannst du aber den Switch und auch Router als 1 Port Durchlauferhitzer auch komplett sparen und das nur mit der lokalen Firewall des PC OS' an der 2. NIC des PCs machen wenn du mit einer 2ten NIC arbeitest. Der PC ist ja dann schon der "Router" zw. diesen beiden netzen. Wozu also einen noch dazu ?
Bei L3 Switch oder Router Einsatz brauchst du ja wiederum gar keine 2. NIC ! Da reicht der Router oder L3 Switch. Beides wäre eigentlich zuviel des Guten und doppelt gemoppelt.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Weisst du ja auch selber...
Danke
Ich habe hier noch ein RouterBOARD RB3011.
Geht das mit auch? Ist ja auch ein Switch enthalten.
Performance ist egal. Es wird nur darüber gedruckt.
Geht das mit auch? Ist ja auch ein Switch enthalten.
Performance ist egal. Es wird nur darüber gedruckt.
Zitat von @StefanKittel:
Ich habe hier noch ein RouterBOARD RB3011.
Geht das mit auch? Ist ja auch ein Switch enthalten.
Logisch, RouterOS ist das selbe RoutingOS für die ganze Mikrotik Produktlinie, außer wenn ein Gerät nur SwitchOS anbietet, aber selbst das folgt den Mikrotik-Paradigmen in der Konfiguration. Die Portkonfiguration d.h. welche Ports zu einem Switch zusammen geschaltet werden, bestimmst du selbst in der Konfiguration über eine Bridge in RouterOS, und über Ich habe hier noch ein RouterBOARD RB3011.
Geht das mit auch? Ist ja auch ein Switch enthalten.
/ip firewall filter legst du das Firewall Regelwerk zwischen den Netzen/VLANs fest.
Kollege @139374 hat Recht. Die Hardware die du verwendest ist völlig egal da ja überall RouterOS rennt. Ist so wie bei Cisco IOS die Konfig ist universell und rennt auf allen (IOS) Modellen.
Aktuelle RouterOS Version (Stable 6.44.2) solltest du aber draufkopieren.
https://mikrotik.com/download
RB3011 ist die ARM basierte Version !
Aktuelle RouterOS Version (Stable 6.44.2) solltest du aber draufkopieren.
https://mikrotik.com/download
RB3011 ist die ARM basierte Version !
roger
noch einmal zur sicherheit.
Ich habe weder VLAN noch getrennte Netzwerke.
PC IP 192.168.88.11
Drucker IP 192.168.88.10
PC Darf auf Drucker zugreifen
Drucker darf nicht auf PC zugreifen
noch einmal zur sicherheit.
Ich habe weder VLAN noch getrennte Netzwerke.
PC IP 192.168.88.11
Drucker IP 192.168.88.10
PC Darf auf Drucker zugreifen
Drucker darf nicht auf PC zugreifen
Zitat von @StefanKittel:
roger
noch einmal zur sicherheit.
Ich habe weder VLAN noch getrennte Netzwerke.
PC IP 192.168.88.11
Drucker IP 192.168.88.10
PC Darf auf Drucker zugreifen
Drucker darf nicht auf PC zugreifen
Sorry, kurzes Missverständnis. War gerade woanders zugange.roger
noch einmal zur sicherheit.
Ich habe weder VLAN noch getrennte Netzwerke.
PC IP 192.168.88.11
Drucker IP 192.168.88.10
PC Darf auf Drucker zugreifen
Drucker darf nicht auf PC zugreifen
Ja das kannst du machen indem du die /interface bridge firewall hernimmst und dann alles was vom Drucker aus kommt blockst, anders herum aber zulässt. Mit Statefull Firewall Rules fließt dann bei der Bidirektionalen Kommunikation trotzdem alles korrekt zu den Clients vom Drucker zurück
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall
here are two bridge firewall tables:
filter - bridge firewall with three predefined chains:
input - filters packets, where the destination is the bridge (including those packets that will be routed, as they are destined to the bridge MAC address anyway)
output - filters packets, which come from the bridge (including those packets that has been routed normally)
forward - filters packets, which are to be bridged (note: this chain is not applied to the packets that should be routed through the router, just to those that are traversing between the ports of the same bridge)
forward - filters packets, which are to be bridged (note: this chain is not applied to the packets that should be routed through the router, just to those that are traversing between the ports of the same bridge)
Damit das funktioniert ist die Bridge-Firewall erst zu aktivieren, denn per Default ist diese nicht aktiv :
1
/interface bridge settings set use-ip-firewall=yesAnsonsten wie immer auch in den lokalen Firewalls blockierbar.
1noch einmal zur sicherheit. Ich habe weder VLAN noch getrennte Netzwerke.
Mmmhhh...nun widersprichst du dir aber diametral selbst. Zitat aus deinem Eingangs Post: "Es gibt 2 getrennte Netzwerke."
Nun ist die Verwirrung komplett....
Oder meinst du etwas das der Kunde damit nicht Standard konform 2 IP Netze auf dem gleichen (Layer 2) Draht betreibt ?
So ein Gruseldesign will man sich besser nicht vorstellen...
PC Darf auf Drucker zugreifen Drucker darf nicht auf PC zugreifen
Das sind doch dann 2 Mausklicks in der lokalen PC Firewall ?!1
