Filtrowanie ruchu LAN-LAN
Główne założenia przykładu:
– urzÄ…dzenia z podsieci LAN2 192.168.2.X majÄ… dostÄ™p tylko do 192.168.1.10 w podsieci LAN1 192.168.1.X.
W przypadku komunikacji w obrÄ™bie tej samej podsieci pakiety sÄ… przesyÅ‚ane bezpoÅ›rednio pomiÄ™dzy urzÄ…dzeniami z pominiÄ™ciem bramy(routera) – filtrowanie jest możliwe za pomocÄ… ACL w switchu zarzÄ…dzalnym.
LAN
Przejdź do zakładki LAN >> VLAN.
Zaznacz Enable i wskaż odpowiednie relacje VLAN.
W przykładzie:
– porty LAN P1~P2 przynależą do podsieci LAN1 bez VLAN Tag
– porty LAN P3~P4 przynależą do podsieci LAN2 bez VLAN Tag
Przejdź do zakładki LAN >> General Setup.
Kliknij przycisk Details Page, aby zmienić adresację podsieci LAN.
W tabeli Inter-LAN Routing włącz routing pomiędzy podsieciami LAN1 i LAN2 w obu kierunkach.
Obiekty
Przejdź do zakładki Object Setting >> IP Object.
Utwórz obiekty IP.
Obiekt IP podsieci LAN1 192.168.1.0/24.
Obiekt IP podsieci LAN2 192.168.2.0/24.
Obiekt IP urzÄ…dzenia 192.168.1.10.
Reguły Firewall
Przejdź do zakładki Firewall >> General Setup.
Upewnij się, że włączony jest filtr danych oraz zestaw 2 jest startowy, który zostanie wykorzystany do blokowania ruchu pomiędzy podsieciami LAN.
W nowszych wersjach firmware domyślnym zestawem startowym filtru danych jest Set#1.
Przejdź do zakładki Firewall >> Filter Setup.
Kliknij indeks 2, aby przejść do ustawień domyślnego zestawu filtru danych.
Kliknij indeks 2 oraz 3, aby utworzyć reguły.
Zestaw 2 Reguła 2
Zaznacz Enable.
Wpisz dowolną nazwę reguły.
Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguła dotyczyła ruchu pomiędzy podsieciami LAN
W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP podsieci LAN2 192.168.2.0/24.
W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać docelowy adres IP urządzenia 192.168.1.10.
Wybierz akcję Pass Immediately, aby Vigor przepuszczał ruch z podsieci LAN2 do urządzenia w podsieci LAN1.
Jeśli chcesz dodać więcej urządzeń to przejdź do zakładki Object Setting >> IP Group i stwórz grupę obiektów IP.
Zestaw 2 Reguła 3
Zaznacz Enable.
Wpisz dowolną nazwę reguły.
Jako kierunek wybierz LAN/DMZ/RT/VPN->LAN/DMZ/RT/VPN, aby reguła dotyczyła ruchu pomiędzy podsieciami LAN.
W polu Source IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP podsieci LAN2 192.168.2.0/24.
W polu Destination IP kliknij przycisk Edit, aby w nowym oknie wskazać źródłowy adres IP podsieci LAN1 192.168.1.0/24.
Wybierz akcję Block Immediately, aby Vigor blokował pozostały ruch z podsieci LAN2 do podsieci LAN1.
