web-dev-qa-db-fra.com

Comment isoler les réseaux avec un routeur Mikrotik?

Je viens de recevoir un routeur Mikrotik pour mon réseau et je souhaite créer 3 réseaux isolés les uns des autres mais disposant tous d'un accès Internet:

  1. Le réseau "principal" pour PC, etc.
  2. Un réseau pour les appareils/appareils domotiques. Je ne souhaite pas que ces hôtes puissent accéder aux autres réseaux, mais je souhaite que certains hôtes spécifiques du réseau principal puissent accéder à des hôtes spécifiques de ce réseau.
  3. Un réseau d'invités pour les visiteurs. Je veux que les hôtes de ce réseau n'aient qu'un accès Internet et soient complètement isolés des autres réseaux.

J'ai pu configurer ces trois réseaux à l'aide de ponts en suivant ces instructions et en imitant également la configuration par défaut fournie avec le routeur.

Il me semble que je dois maintenant définir des règles de pare-feu pour bloquer le trafic entre les ponts, et c’est ici que j’ai besoin d’un peu d’aide. D'après ce que j'ai compris, le logiciel de pare-feu Mikrotik est basé sur Linux iptables.

  1. Il semble y avoir deux endroits pour cela: la configuration de pare-feu principale dans /ip firewall filter et une section spécifique au pont dans /interface bridge filter. Lequel serait le meilleur à utiliser? Quels sont les avantages et les inconvénients de chacun?

  2. J'expérimente avec les filtres de pont, mais toutes mes règles ont un petit icône de barre de trafic à côté d'eux, ce qui ne me semble pas bien. Je ne trouve aucune explication sur la signification de l'icône.

  3. Comment dois-je configurer les règles? Serait-il plus facile de gérer un groupe de chaînes séparées pour chaque pont? Si oui, comment les chaînes devraient-elles être organisées?

  4. Il me semble que je dois définir des règles forward pour cela. Existe-t-il des règles input ou output dont j'ai également besoin?

  5. Je dois faire correspondre les règles sur les ponts/interfaces (c'est-à-dire entrants, sortants, WAN interfaces, etc.), correct? Par exemple. pour bloquer des paquets du réseau principal vers le réseau domotique, il me faudrait une règle du type in-bridge = main out-bridge = home_automation action = DROP, n'est-ce pas?

firewalliptablesmikrotik-routeros
7
Kaypro II

En effet, les appareils Mikrotik effectuent automatiquement le routage entre les réseaux. Prenons l'exemple des deux réseaux 10.0.0.1/16 et 192.168.1.0/24. Si vous souhaitez bloquer le trafic entre ces deux, ajoutez simplement deux règles de pare-feu

ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop

de sorte que vous déposez des paquets dans les deux sens.

5
Benoit PHILIPPON