Mikrotik hex firewall regeln
Hallo mal wieder....
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?
Wäre toll, vielen Dank und viele Grüße
Lutz
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?
Wäre toll, vielen Dank und viele Grüße
Lutz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333454
Url: https://administrator.de/forum/mikrotik-hex-firewall-regeln-333454.html
Ausgedruckt am: 26.12.2024 um 15:12 Uhr
2 Kommentare
Neuester Kommentar
Router OS ist Router OS. Eigentlich solltest du bei gleicher Version die Regeln einfach übernehmen können.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !
Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any
Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any
usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !
Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any
Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any
usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.