Допустим, у нас есть две сети подключенные через маршрутизатор mikrotik.
Для простоты возьмем три микротика, два из которых будут выступать просто в роли хоста.
На первом имеем ip-адрес 192.168.10.2/24, на втором 192.168.11.2/24, на третьем адреса 192.168.10.1/24 и 192.168.11.1/24. На двух микротиках соответственно прописаны маршруты друг до друга через третий роутер.
Как добавлять адреса, есть в предыдущих топиках.
Теперь задача, необходимо чтобы сеть 192.168.11.0 была доступна из сети 192.168.10.0, но сеть 192.168.10.0 НЕ доступна из сети 192.168.11.0.
Другими словами, нужно чтобы хосты первой сети могли обращаться к сервисам сети два, но не наоборот.
Для этого нужно всего одно правило на firewall, которое будет отбрасывать все пакеты идущие из сети 192.168.11.0 в сеть 192.168.10.0, если подключение инициировано сетью 192.168.11.0
Заходим на winbox, IP->Firewall->Filter Rules и добавляем новое правило
Src.Address-это адрес отправителя пакета, в данном случае вся сеть
Dst.Adress-это адрес назначения.
Connection-State как раз указывает на то что все пакеты приходящие из сети 192.168.11.0 созданным оттуда подключением будут "ловиться" этим правилом. На вкладке Action выбираем drop, это то что необходимо делать с пакетами подходящим к заданным правилам фильтрации.
Теперь мы сможем свободно обращаться к хостам сети 192.168.11.0 с хостов сети 192.168.10.0, но не наоборот.
Также можно расширить правило параметрами. Например, не пропускать только некоторые протоколы, например ICMP.
Или например у нас есть в DMZ сервер который смотрит наружу в интернет и имеет "белый" адрес. На него могут заходить какие-то пользователи. При этом нужно управлять этим сервером изнутри. Тут как раз и поможет такое правило. Доступ к внутренней сети с этого сервера будет закрыт, когда наоборот изнутри можно свободно обращаться к этому серверу.
Для простоты возьмем три микротика, два из которых будут выступать просто в роли хоста.
На первом имеем ip-адрес 192.168.10.2/24, на втором 192.168.11.2/24, на третьем адреса 192.168.10.1/24 и 192.168.11.1/24. На двух микротиках соответственно прописаны маршруты друг до друга через третий роутер.
Как добавлять адреса, есть в предыдущих топиках.
Теперь задача, необходимо чтобы сеть 192.168.11.0 была доступна из сети 192.168.10.0, но сеть 192.168.10.0 НЕ доступна из сети 192.168.11.0.
Другими словами, нужно чтобы хосты первой сети могли обращаться к сервисам сети два, но не наоборот.
Для этого нужно всего одно правило на firewall, которое будет отбрасывать все пакеты идущие из сети 192.168.11.0 в сеть 192.168.10.0, если подключение инициировано сетью 192.168.11.0
Заходим на winbox, IP->Firewall->Filter Rules и добавляем новое правило
Src.Address-это адрес отправителя пакета, в данном случае вся сеть
Dst.Adress-это адрес назначения.
Connection-State как раз указывает на то что все пакеты приходящие из сети 192.168.11.0 созданным оттуда подключением будут "ловиться" этим правилом. На вкладке Action выбираем drop, это то что необходимо делать с пакетами подходящим к заданным правилам фильтрации.
Теперь мы сможем свободно обращаться к хостам сети 192.168.11.0 с хостов сети 192.168.10.0, но не наоборот.
Также можно расширить правило параметрами. Например, не пропускать только некоторые протоколы, например ICMP.
Или например у нас есть в DMZ сервер который смотрит наружу в интернет и имеет "белый" адрес. На него могут заходить какие-то пользователи. При этом нужно управлять этим сервером изнутри. Тут как раз и поможет такое правило. Доступ к внутренней сети с этого сервера будет закрыт, когда наоборот изнутри можно свободно обращаться к этому серверу.
