¿Cómo aislar redes con un router Mikrotik?

5

Hace poco recibí un Enrutador mikrotik para mi red, y quiero crear 3 redes que estén aisladas unas de otras pero que tengan acceso a Internet:

  1. La red "principal" para PC, etc.
  2. Una red para dispositivos / aparatos domóticos. No quiero que estos hosts puedan acceder a las otras redes, pero quiero que algunos hosts específicos en la red principal puedan acceder a hosts específicos en esta red.
  3. Una red de invitados para los visitantes. Quiero que los hosts de esta red solo tengan acceso a Internet y que estén completamente aislados de las otras redes.

He podido configurar estas tres redes utilizando puentes siguiendo estas instrucciones y también imita la configuración predeterminada que viene con el enrutador.

Parece que ahora necesito definir reglas de firewall para bloquear el tráfico entre los puentes, y es aquí donde necesito un poco de ayuda. Mi entendimiento es que el software de firewall Mikrotik está basado en Linux iptables.

  1. Parece que hay dos lugares para hacer esto: la configuración del firewall principal en /ip firewall filter, y una sección específica del puente en /interface bridge filter. ¿Cuál sería mejor usar? ¿Cuáles son los pros y los contras de cada uno?

  2. Estoy experimentando con los filtros de puente, pero todas mis reglas tienen un poco de icono de barra de tráfico Junto a ellos, lo que no me queda bien. No puedo encontrar ninguna explicación de lo que significa el icono.

  3. ¿Cómo debo configurar las reglas? ¿Sería más manejable crear un grupo de cadenas separadas para cada puente? Si es así, ¿cómo deberían organizarse las cadenas?

  4. Parece que necesito definir forward reglas para esto Hay alguna input o output ¿Reglas que yo también necesitaría?

  5. Debería tener las reglas coincidentes en los puentes / interfaces (es decir, en puente, fuera de puente, interfaz WAN, etc.), ¿correcto? P.ej. para bloquear paquetes de la red principal a la red de automatización del hogar, necesitaría reglas que sean algo como in-bridge = main out-bridge = home_automation action = DROP, ¿correcto?

Kaypro II
fuente
Si tiene un enfoque alternativo, no dude en sugerirlo. Todas estas redes están configuradas en un solo enrutador (tienen diferentes puertos de conmutación / SSID asignados a ellas), pero parece que el enrutador se enrutará automáticamente entre todas las redes a las que tiene rutas.
Kaypro II
El comentario anterior fue en respuesta a un comentario ahora eliminado.
Kaypro II

Respuestas:

3

De hecho, los dispositivos Mikrotik realizan el enrutamiento automáticamente entre redes. Considere las dos redes 10.0.0.1/16 y 192.168.1.0/24, por ejemplo. Si desea bloquear el tráfico entre esos dos, simplemente agregue dos reglas de firewall

ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop

Así que dejas caer los paquetes en ambas direcciones.

Benoit PHILIPPON
fuente