makl91
Goto Top

Mikrotik Firewall Netztrennung Ausnahmen

Hallo in einem Post vor kurzer Zeit hatte ich mich über Netztrennung via Firewall auf einen Mikrotik Router informiert.

Mein Netz ist wie folgt getrennt aktuell:

/ip firewall adress-list add list=lokal address=192.168.34.0/24
/ip firewall adress-list add list=lokal address=192.168.35.0/24
/ip firewall filter add chain=forward src-address-list=lokal out-interface=!pppoe-out action=drop

auf eth2 ist das 34er Netz und auf eth3 das 35er Netz.

Die Variante klappt soweit auch.

Alternativ Variante nicht auf Interface Basis zu Trennen sondern auf IP Adress Basis zu trennen klappt auch einwandfrei mit 2 Regeln auf die Forward Chain mit Drop und hier einmal
• source 192.168.34.0/24 und Destination 192.168.35.0/24
• source 192.168.35.0/24 und Destination 192.168.34.0/24

Jetzt möchte ich aber das die IP Adresse 192.168.34.254 über den Port 5001 erreichbar ist. Aus dem 34er Netz klappt das ja ohne Probleme weil sind ja keine Einschränkung vorhanden. Jedoch scheitert bei mir aktuell jeder Versuch dies auch aus dem 35er Netz umzusetzen.

Die Lösung ist wahrscheinlich relativ einfach aber ich sehe scheinbar den Wald vor lauter Bäumen nicht. Meiner Meinung ist dies ja nur eine Ausnahme die ich als Regel definiere und diese vor die eigentliche Block Regel setze.

Aus dem öffentlichen Netz ist die 192.168.34.254 über ihre FQDN erreichbar hier aber ebenfalls nicht aus dem 35er Netz.

Danke Schonmal für eure Antworten

Content-Key: 1310492553

Url: https://administrator.de/contentid/1310492553

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: 149569
Lösung 149569 26.09.2021 aktualisiert um 18:33:53 Uhr
Goto Top
Immer dran denken ..."first match wins", dann hast du deine Lösung face-wink
/ip firewall adress-list add list=lokal address=192.168.34.0/24
/ip firewall adress-list add list=lokal address=192.168.35.0/24
/ip firewall filter add action=accept chain=forward comment="related established" connection-state=established,related  
/ip firewall filter add chain=forward src-address=192.168.35.0/24 dst-address=192.168.34.254 dst-port=5001 protocol=tcp action=accept
/ip firewall filter add chain=forward src-address-list=lokal out-interface=!pppoe-out action=drop

Die richtige Reihenfolge zählt! Die Regel in Zeile 4 muss vor der in Zeile5 liegen sein sonst funktioniert es logischerweise nicht.
Mitglied: Makl91
Makl91 26.09.2021 um 19:08:39 Uhr
Goto Top
Danke ich werde das morgen mal testen auch wenn ich der Meinung bin das ich es so schon getestet habe (glaube ich jedenfalls 😂)
Mitglied: 149569
149569 26.09.2021 aktualisiert um 20:54:53 Uhr
Goto Top
Zitat von @Makl91:

auch wenn ich der Meinung bin das ich es so schon getestet habe (glaube ich jedenfalls 😂)

Das lüppt 100% glaub's mir, mache das ja nicht zum ersten mal 😉. Du hattest wohl die State Rules nicht drin, denn mit diesen braucht man immer nur die Initiator Richtung definieren, für die Pakete zurück wird die Verbindung dann automatisch durch die State-Table zugelassen.
Mitglied: Makl91
Makl91 27.09.2021 um 19:12:08 Uhr
Goto Top
@149569 ich hatte es tatsächlich genauso gehabt nur hatte ich Depp die Chain der State Rule auf input und nicht auf forward (Warum auch immer ;) )

Aber vielen Dank für deine Hilfe, jetzt kann ich endlich weiter basteln face-smile
Mitglied: 149569
149569 27.09.2021 um 21:14:00 Uhr
Goto Top
Na denn viel Erfolg.