Две подсети (рабочая и гостевая), между ними запрещена маршуртизация

Тема в разделе "Маршрутизация", создана пользователем Roman Markov, 17 ноя 2016.

  1. Roman Markov

    Roman Markov Участник

    src-address=10.1.1.0/24 dst-address=192.168.3.0/24 action=unreachable
    src-address=192.168.3.0/24 dst-address=10.1.1.0/24 action=unreachable

    В рабочей функционирует корпоративный почтовик, который из гостевой виден только если запрета на маршрутизацию нет

    Но гостевая подсеть не должна видеть рабочую.

    А можно ли при таких условиях увидеть из гостевой сети почтовик в рабочей?

    Например, через NAT с указанием IP и портов?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Нет. До маршрутизации отрабатывает только DST-NAT. А DST нам менять не с руки.
     
  3. Roman Markov

    Roman Markov Участник

    А можно ли на Firewall/Filter правила сверстать, чтобы (сверху вниз)?

    - Гостевая подсеть - Рабочая подсеть IP-address/TCP/Ports - ACCEPT
    - Гостевая подсеть - Рабочая подсеть - DROP ALL
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Если вы в файрвол будете рубить, там вообще можно поставить
    add chain=forward connection-state=established,related action=accept
    add chain=forward in-interface=GUEST dst-address= protocol= dst-port= action=accept
    add chain=forward in-interface=GUEST out-interface=!WAN action=drop
     
  5. Roman Markov

    Roman Markov Участник

    Ага, спасибо - то, что надо.

    А если GUEST-Zone - это бридж из 5 портов - как указывать in-interface?
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Как бридж конечно.
     
  7. Roman Markov

    Roman Markov Участник

    Сорри, что туплю и сейчас посмотреть существующие конфиги никак:

    Бридж - это же тоже "интерфейс"? То есть:
    /interface bridge add name=Bridge-GUEST ....
    .... in-interface=Bridge-GUEST

    ?
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

  9. Roman Markov

    Roman Markov Участник

    Илья, спасибо за помощь!