我有两个子网 xx10.0 和 xx20.0 在 Mikrotik 路由器下运行,因此在 RouterOs GUI 中,我在 ether2 和 ether3 接口上设置了两个 dhcp,并创建了地址池 xx10.2 - 254 和 xx20.2 - 254。我添加了网络 xx10.0/24 和网关 xx10.1,以及 xx20.0/24 和网关 xx20.1。在租约选项卡中,我可以看到两个子网的租约都运行正常。
我想问一下,我遗漏了什么,以至于这两个子网中的设备可以看到另一个子网中的其他设备。
我想我可以轻松地为那些 ether2,3 端口设置防火墙,但我认为不同的子网默认情况下不应该互相看到,而且这会有些过度。
我还考虑了“路线”选项卡,它会自动生成动态记录
- 目标地址 - xx10.0/24、网关 - ether2 可达、首选源 - xx10.1
- 目标地址 - xx20.0/24、网关 - ether3 可达、首选源 - xx20.1
谢谢
答案1
您有一个企业级路由器,它是完全模块化的,因此与标准的消费级互联网网关路由器不同,使用您的路由器,每个子网可以 100% 自然地相互看到。
要限制对任一子网的访问,您应该使用防火墙。调整默认网关不会有帮助。
如果您的路由器支持每接口路由,您可以尝试删除从 eth2 -> xx20.x 和从 eth1 -> xx10.x 的路由,但这比在 eth2 和 eth3 上设置一对入站防火墙并使用单个丢弃规则来杀死来自另一个网络的所有流量要不那么明确。
许多路由器不支持每个接口的路由规则,并且路由是关于目的地而不是源的,因此如果您关闭到 xx20.0 的动态路由,那么通过 WAN 传入的流量就永远无法传送到该网络。
在两个 LAN 接口上创建防火墙规则集是满足您需求的最佳选择。
因此,在 Eth2 上,创建具有以下规格的防火墙规则集:
Direction: IN
Default Action: Accept
Drop from x.x.20.x
在 Eth3 上:
Direction: IN
Default Action: Accept
Drop from x.x.10.x