Mikrotik - Aislar un equipo en una red aparte

Etiquetas: · en

Aislar un equipo en una red aparte


Podéis aislar un equipo o varios dependiendo de vuestras necesidades. Añadir puertos al bridge de la red que queréis aislar.

Muchas veces tenemos la necesidad, bien por trabajo bien por cualquier otro tema, de aislar un equipo dentro de nuestra red. Para ello, no basta con asignar una IP o segmento de red distinta al equipo, sino que además tenemos que bloquear el tráfico que genera para que no acceda a nuestra red principal, dado que, por defecto, todos los segmentos de red que se configuren en un router mikrotik se comunican entres sí.

Para montar una red independiente, lo primero que vamos a hacer es sacar el puerto físico donde vayamos a conectar el equipo (ether5 en mi caso) del bridge principal, el cual de normal aglutina los puertos del 2 al 5 (en el caso de equipos con 5 puertos ethernet). En este caso, saco ether5 del bridge principal llamado bridge1.

Código:

/interface bridge port remove numbers=[find where interface=ether5]


Lo siguiente que haremos, será asignar un nuevo segmento de red para ese puerto. Por ejemplo, le daremos el segmento de red 192.168.99.1/24

Código:

/ip address add address=192.168.99.1/24 interface=ether5


Siguiente, creamos un pool de direcciones para dicho servidor, tan grande como nos interese. En mi caso, de 8 equipos, de la 3 a la 10.

Código:

/ip pool add name=pool-out-of-lan ranges=192.168.99.3-192.168.99.10


Y le añadimos un servidor DHCP a dicha interfaz, para no tener que preocuparnos de poner una IP estática en la máquina la cual conectemos a ese puerto. Primero el detalle de la red, luego el servidor propiamente dicho

Código:

/ip dhcp-server network

add address=192.168.99.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.99.1


/ip dhcp-server

add address-pool=pool-out-of-lan disabled=no interface=ether5 name=dhcp-out-of-lan


Y por último, y más importante, añadimos las reglas de firewall que nos impedirán la comunicación entre ambas redes, dado que el mikrotik las comunica por defecto. Serán dos reglas (una por cada sentido del tráfico) en el chain de forward:

Código:

/ip firewall filter

add action=drop chain=forward comment="drop communication from LAN to new network" \

    src-address=192.168.88.0/24 dst-address=192.168.99.0/24


add action=drop chain=forward comment="drop communication from new network to LAN" \

    src-address=192.168.99.0/24 dst-address=192.168.88.0/24


Información obtenida del foro AdslZone-Mikrotik

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)