Ограничить доступ из одной локальной сети в другую

[vfhnbyb]

Доброго времени суток.

Ситуация такова имеется 2 интернет подключения:
1е (eth0) ADSL
2е (eth1) PPPoE
------- Локальная сеть -------
eth2 - Offise 192.168.10.0/24 (Static)
eth3 - Guest 192.168.20.0/24 (DHCP)

Вопрос: как мне закрыть доступ из eth3 в eth2, чтоб не пинговалось и не подключались к IP из сетки 10 когда пользователи подключены к 20 сети.
Чтобы пользователи из 20й сети вообще не предполагали, что есть 10 ????

EdgeRouter X SFPv1.8.0

 

[dimacbz]

Можно правилами Фаервола.
eth1 - 192.168.1.1 /// eth2 - 192.168.2.1
Вот конфиг правила, запрещающего доступ из eth2 в eth1:

 name ETH2_to_IN_EDGEROUTER {
        default-action accept
        description "ETH2 to IN of EdgeRouter"
        rule 1 {
            action drop
            description "Block eth2 to eth1"
            destination {
                address 192.168.1.0/24
            }
            log disable
            protocol all
            state {
    new
  }
        }
    }


  ethernet eth2 {
        address 192.168.2.1/24
        description "Local 2"
        duplex auto
        firewall {
            in {
                name ETH2_to_IN_EDGEROUTER
            }

 

[vfhnbyb]

Можно правилами Фаервола.
eth1 - 192.168.1.1 /// eth2 - 192.168.2.1
Вот конфиг правила, запрещающего доступ из eth2 в eth1:

 name ETH2_to_IN_EDGEROUTER {
        default-action accept
        description "ETH2 to IN of EdgeRouter"
        rule 1 {
            action drop
            description "Block eth2 to eth1"
            destination {
                address 192.168.1.0/24
            }
            log disable
            protocol all
            state {
    new
  }
        }
    }


  ethernet eth2 {
        address 192.168.2.1/24
        description "Local 2"
        duplex auto
        firewall {
            in {
                name ETH2_to_IN_EDGEROUTER
            }

Огромное СПАСИБО! Сделал, еще вопрос: как бы мне теперь разрешить обнаруживать часть IP из одной в другую сеть?

 

[dimacbz]

Огромное СПАСИБО! Сделал, еще вопрос: как бы мне теперь разрешить обнаруживать часть IP из одной в другую сеть?

Напишите из какой в какую и какую часть. То есть какая должна обнаруживать и какой диапазон.

 

[vfhnbyb]

Напишите из какой в какую и какую часть. То есть какая должна обнаруживать и какой диапазон.

eth2 - Offise 192.168.10.0/24 (Static) ---> смотрит диапазон от eth3 - Guest 192.168.20.0/24 (DHCP) с 20.200 по 20.253

 

[dimacbz]

Все тоже самое прописываете для eth2, как и прописывали к eth3, только в разделе @destination@ ставите 192.168.20.1-192.168.20.199

+ 2 правило для ип 192.168.20.254 отдельно если надо.

 

[vfhnbyb]

Все тоже самое прописываете для eth2, как и прописывали к eth3, только в разделе @destination@ ставите 192.168.20.1-192.168.20.199

+ 2 правило для ип 192.168.20.254 отдельно если надо.

Спасибо Вам огромное!

 

[vfhnbyb]

Подскажите пожалуйста, возможно ли сделать так: Ограничивать скорость пользователю 20 сети если он начнет скачивать файл весом более, допустим, 3мб??

 

[dimacbz]

Подскажите пожалуйста, возможно ли сделать так: Ограничивать скорость пользователю 20 сети если он начнет скачивать файл весом более, допустим, 3мб??

Вот примерная инструкция по бурст-шейперу: https://help.ubnt.com/hc/en-us/articles/204911404-EdgeMAX-Set-traffic-policies-for-upload-download-and-VoIP

В destination address можете указать подсеть, пуул адресов или конкретный адрес.

 

[dimacbz]

Подскажите пожалуйста, возможно ли сделать так: Ограничивать скорость пользователю 20 сети если он начнет скачивать файл весом более, допустим, 3мб??

Это для торрентов? Если так, то вот инструкция по блокировке p2p трафика: http://www.ubnt.su/forum/threads/edgerouter-lite-block-utorrent-etc-p2p-blokirovka-torrent-trafika.4571/

 

[vfhnbyb]

Это для торрентов? Если так, то вот инструкция по блокировке p2p трафика: http://www.ubnt.su/forum/threads/edgerouter-lite-block-utorrent-etc-p2p-blokirovka-torrent-trafika.4571/

Это для всего, допустим: пользователь ходит по сайтам, загружая при этом странички весом до 3 мб, у него скорость 20 мбит/с, если ему вздумается загружать файл свыше 3 мб, скорость его падает до 512

 

[dimacbz]

Это для всего, допустим: пользователь ходит по сайтам, загружая при этом странички весом до 3 мб, у него скорость 20 мбит/с, если ему вздумается загружать файл свыше 3 мб, скорость его падает до 512

https://help.ubnt.com/hc/en-us/articles/204911404-EdgeMAX-Set-traffic-policies-for-upload-download-and-VoIP

 

[vfhnbyb]

Это для торрентов? Если так, то вот инструкция по блокировке p2p трафика: http://www.ubnt.su/forum/threads/edgerouter-lite-block-utorrent-etc-p2p-blokirovka-torrent-trafika.4571/

Ругается

set firewall name LAN_IN rule 10 application category P2P
Warning: DPI must be enabled for application matching

Failed to open file
Invalid category [P2P]

Value validation failed
Set failed

 

[dimacbz]

Ругается

set firewall name LAN_IN rule 10 application category P2P
Warning: DPI must be enabled for application matching

Failed to open file
Invalid category [P2P]

Value validation failed
Set failed

Там же черным по белому написано:На роутере стоит свежая прошивка 1.8.0 и включен DPI

 

[vfhnbyb]

Там же черным по белому написано:На роутере стоит свежая прошивка 1.8.0 и включен DPI

DPI пробовал включить, не выходит.

 

[dimacbz]

Конфиг роутера моего в прикрепленном файле. У меня всё работает.

 

[dimacbz]

DPI пробовал включить, не выходит.

Еще не исключаю, что я перепутал последовательность ввода команд. Разберусь, поправлю в инструкции.

 

[dimacbz]

Ругается

set firewall name LAN_IN rule 10 application category P2P
Warning: DPI must be enabled for application matching

Failed to open file
Invalid category [P2P]

Value validation failed
Set failed

Проверил. Инструкция в порядке. Заметил, что если категорию вписать с маленьких букв или не латиницей, то появляется такая ошибка.
Правильное название категорий и их регистр:

Bypass-Proxies-and-Tunnels  TopSites-Games
File-Transfer               TopSites-Health
Games                       TopSites-Home
Instant-messaging           TopSites-KidsnTeens
Mail-and-Collaboration      TopSites-News
Mobile                      TopSites-Recreation
P2P                         TopSites-Reference
Remote-Access-Terminals     TopSites-Regional
Social-Network              TopSites-Science
Stock-Market                TopSites-Shopping
Streaming-Media             TopSites-Society
TopSites-Adult              TopSites-Sports
TopSites-Arts               Voice-over-IP
TopSites-Business           Web-IM
TopSites-Computers

 

[vfhnbyb]

Конфиг роутера моего в прикрепленном файле. У меня всё работает.

Подскажите, а у вас Роутер EdgeRouter X SFP ??
traffic analysis отсутствует в этой модели? Или я чего-то не настроил...

 

[dimacbz]

Подскажите, а у вас Роутер EdgeRouter X SFP ??
traffic analysis отсутствует в этой модели? Или я чего-то не настроил...

Edgerouter Lite