Mikrotik hex firewall regeln
Hallo mal wieder....
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?
Wäre toll, vielen Dank und viele Grüße
Lutz
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?
Wäre toll, vielen Dank und viele Grüße
Lutz
Please also mark the comments that contributed to the solution of the article
Content-Key: 333454
Url: https://administrator.de/contentid/333454
Printed on: May 4, 2024 at 15:05 o'clock
2 Comments
Latest comment
Router OS ist Router OS. Eigentlich solltest du bei gleicher Version die Regeln einfach übernehmen können.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !
Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any
Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any
usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !
Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any
Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any
usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.