दो सबनेट: डिवाइस अन्य सबनेट से दूसरों को देखते हैं

मेरे पास दो सबनेट xx10.0 और xx20.0 हैं जो मिकरोटिक राउटर के तहत चल रहे हैं इसलिए राउटरो जीयूआई, मैंने ईथर 2 पर दो dhcp सेट किया है और ईथर 3 पर एक बनाया गया पता पूल xx10.2 इंटरफेस - 254 और xx20.2 - 254 है। मैंने नेटवर्क xx10 को जोड़ा गेटवे xx10.1 के साथ .0 / 24 और गेटवे xx20.1 के साथ xx20.0 / 24। पट्टों के टैब में, मैं पट्टियों के दोनों पट्टों को ठीक काम करते देख सकता हूं।

मैं पूछना चाहता हूं कि मुझे क्या याद आ रहा है कि उन दो सबनेट में डिवाइस अन्य सबनेट से देख सकते हैं।

मुझे लगता है कि मैं आसानी से उन ether2,3 बंदरगाहों के लिए फ़ायरवॉल सेट कर सकता हूं, लेकिन मैंने सोचा कि अलग-अलग सबनेट को एक-दूसरे को डिफ़ॉल्ट रूप से नहीं देखना चाहिए और यह ओवरकिल होगा।

मैंने रूट टैब के बारे में भी सोचा, जिसने स्वचालित रूप से गतिशील रिकॉर्ड बनाए हैं

Dst। पता - xx10.0 / 24, गेटवे - ईथर 2 पहुंच योग्य, पूर्ववर्ती स्रोत - xx10.1
Dst। पता - xx20.0 / 24, प्रवेश द्वार - ईथर 3 पहुंच से बाहर, पूर्व स्रोत - xx20.1

धन्यवाद

networking subnet

— मारेक Židek
स्रोत

गलती से, मुझे पता है कि कुछ नेटवर्किंग बुनियादी सिद्धांत हैं, और निश्चित रूप से विभिन्न सबनेट को एक दूसरे को देखना चाहिए जब आपके पास एक राउटर होता है। इसे रोकने के लिए आपको फ़ायरवॉल कार्यक्षमता की आवश्यकता है। मैंने एक माइक्रोटिक राउटर का उपयोग नहीं किया है .. एक वीएलएएन स्विच को संभवत: प्रतिबंधित करने के लिए कॉन्फ़िगर किया जा सकता है कि कौन से पोर्ट दूसरे पोर्ट को देखते हैं, उनके पास कभी-कभी राउटर भी होता है ताकि सबनेट या वीएलएएन के बीच संचार को सक्षम किया जा सके। राउटर कभी-कभी राउटर कार्यक्षमता के अतिरिक्त, एक बॉक्स में आते हैं जिसमें फ़ायरवॉल कार्यक्षमता हो सकती है या हो सकती है। रुचि से बाहर, क्या आप माइक्रोटिक्क राउटर पर फ़ायरवॉल फ़ंक्शन रख सकते हैं?

— बार्लॉप

अच्छा धन्यवाद। मैंने इसे इस बात के लिए स्वीकार कर लिया कि अगर मैं दो नए नेटवर्कों को परिभाषित करूं तो उनके ऊपर के राउटर पर पोर्ट

— फॉरवर्ड

जांचें कि क्या आप डीएचसीपी सर्वर पर डिफ़ॉल्ट गेटवे भेजने की सुविधा को अक्षम कर सकते हैं। डिफ़ॉल्ट गेटवे के बिना कोई डिवाइस अन्य सबनेट पर डिवाइस नहीं देख सकता है।

— jcbermu

यदि मैं डीएचसीपी सर्वर पर डिफ़ॉल्ट गेटवे को अक्षम करता हूं, तो मैं इंटरनेट से कट जाता हूं, @barlop हां, मैंने इसे काम करने के लिए राउटर पर फ़ायरवॉल नियम लगाए ... मुझे अभी यह पता नहीं था कि इसे पूरा करने का "सही" तरीका था ... सोचा कि यह डिफ़ॉल्ट

— व्यवहार

@MarkSeygan शायद एक फ़ायरवॉल के अलावा, दूसरा तरीका, राउटर में उन मार्गों की तलाश करना होगा जो सबनेट के बीच संचार को सक्षम करते हैं और उन मार्गों को हटाते हैं। लेकिन मुझे लगता है कि आप यह भी सुनिश्चित करना चाहेंगे कि राउटिंग टेबल बार

— बंद

आपके पास एक एंटरप्राइज़-ग्रेड राउटर है, जो पूरी तरह से मॉड्यूलर है, इसलिए आपके साथ मानक उपभोक्ता-ग्रेड इंटरनेट गेटवे राउटर के विपरीत, प्रत्येक सबनेट के लिए प्रत्येक सौतेले को देखना 100% स्वाभाविक है।

या तो सबनेट तक पहुंच को सीमित करने के लिए, आपको एक फ़ायरवॉल का उपयोग करना चाहिए। डिफ़ॉल्ट गेटवे को समायोजित करने से मदद नहीं मिलेगी।

यदि आपका राउटर प्रति-इंटरफ़ेस मार्गों का समर्थन करता है , तो आप eth2 -> xx20.x और eth1 -> xx10.x से मार्गों को हटाने का प्रयास कर सकते हैं, लेकिन यह दोनों eth2 से इनबाउंड फायरवॉल की एक जोड़ी स्थापित करने की तुलना में बहुत कम स्पष्ट है। और एक एकल ड्रॉप नियम के साथ eth3, दूसरे नेटवर्क से उत्पन्न होने वाले सभी ट्रैफ़िक को मारने के लिए।

कई राउटर प्रति-इंटरफ़ेस रूटिंग नियमों का समर्थन नहीं करते हैं, और रूट गंतव्य के बारे में हैं, स्रोत नहीं, इसलिए यदि आपने डायनेमिक रूट को xx20.0 पर मार दिया है, तो वैन पर आने वाले ट्रैफ़िक को कभी भी उस नेटवर्क तक नहीं पहुंचाया जा सकता है।

दोनों LAN इंटरफेस पर फ़ायरवॉल नियम बनाना आपकी आवश्यकताओं के लिए सबसे अच्छा शर्त है।

तो, Eth2 पर, निम्नलिखित स्पेक्स के साथ एक फ़ायरवॉल नियम बनाएँ:

  Direction: IN
  Default Action: Accept
  Drop from x.x.20.x

और Eth3 पर:

  Direction: IN
  Default Action: Accept
  Drop from x.x.10.x

— फ्रैंक थॉमस
स्रोत