目标
为员工的个人设备提供互联网访问权限,而无需访问内部networking。
设备
连接
瞻博networking – > MikroTik – >思科交换机 – >客户端,打印机等
Netgear目前连接到MikroTik的一个端口,该端口是Cisco交换机使用的同一主端口的从端口。 改变这可能是解决scheme的一部分,但我不确定。
我在哪里
我将Netgearconfiguration为使用无线隔离,并将其内部IP范围设置为匹配办公室networking,然后将其连接到MikroTik路由器。 我的意图是要求办公室资源不能摆脱Netgear的范围(例如,请求192.168.1.1将返回networkingpipe理面板,而不是mikrotik),但它做了一些自动configuration,当我连接它,并切换到不同的范围,所以现在我可以访问MikroTik和ping办公设备。 不是我在找什么。
考虑到MikroTik可能会有更优雅的东西,这看起来好像是破解方法。 用这个设备隔离无线路由器的正确方法是什么?
按照本文中的说明解决这个问题,并在RouterOS webgui中find相应的命令。
步骤摘要 :
创build访客桥
/interface bridge add name=bridge-guest 在网桥上创buildDHCP服务器
/ip address add address=172.16.0.1/24 interface=bridge-guest network=172.16.0.0 /ip pool add name=guest ranges=172.16.0.100-172.16.0.254 /ip dhcp-server add address-pool=guest disabled=no interface=bridge-guest name=guest /ip dhcp-server network add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1
制定NAT规则将stream量路由到互联网(我不需要这样做,因为默认伪装规则已经这样做了,原始文章中的src-addressnetworking掩码不正确。
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=172.16.0.0/24
过滤来自网桥的所有stream量到网关以外的任何地方
/ip firewall filter add action=drop chain=forward in-interface=bridge-guest out-interface=!ether1-gateway
阻止来自客户网桥的端口80上的stream量,以防止访客用户访问MikroTik控制台
/ip firewall filter add action=drop chain=input in-interface=bridge-guest dst-address=192.168.1.1 dst-port=80
请注意,在步骤5中, dst-address应该是MikroTik路由器的地址,协议可能需要设置为6(tcp)
结果
我现在在我的MikroTik路由器上有一个端口,只允许访问互联网并阻止连接pipe理面板。 连接到这是带有标准设置的Netgear无线路由器。 这种方法的好处是局域网的安全性完全不依赖于无线路由器的安全性。