Я хотел создать сеть с 3 отдельными VLAN
Итак, я подключил два маршрутизатора TL-WR740n с установленным Openwrt и начал эксперименты.
Первый маршрутизатор (10.140.X.1) работает как DHCP-сервер, второй (10.140.X.2) - как клиент со вторым набором портов.
Я сделал три влана - каждый привязан к соответствующему номеру порта.
На 4-м порту все VLAN тегированы - он используется для подключения двух устройств.
Я хочу полностью разделить VLAN. Но когда я нахожусь в VLAN1 (подсеть 10.140.1.X), я могу открыть панель маршрутизатора (10.140.2.1) из VLAN2 (подсеть 10.140.2.X).
Зачем? Как я могу заблокировать трафик между VLAN?
Я сделал отдельные зоны для каждой VLAN - и заблокировал пересылку из VLAN1 в VLAN2 (на всякий случай).
Мне это не помогает - я все еще могу открыть сайт маршрутизатора 10.140.2.1 (VLAN2) с адресом 10.140.1.140 и находящийся в VLAN1.
Заранее спасибо!
Ваши адреса находятся в разных подсетях. Это означает, что когда 10.140.1.X имеет пакет для 10.140.2.1, он сверится со своей таблицей маршрутизации и увидит пару маршрутов, один из которых указывает, что 10.140.1.0/24 подключен напрямую, а другой - для 0.0.0.0/0 через 10.140.1.1. Поскольку 10.140.2.1 отсутствует в 10.140.1.0/24, это второй маршрут, который соответствует, поэтому пакет идет на 10.140.1.1. Это в той же VLAN.
Затем 10.140.1.1, который подключен к обеим VLAN, перенаправляет его на 10.140.2.1. Это ожидаемое поведение. Если вы хотите предотвратить это, вы добавляете некоторые правила брандмауэра в 10.140.1.1, чтобы запретить обмен данными, например с iptables:
iptables -A FORWARD -s 10.140.1.0/24 -d 10.140.2.0/24 -j REJECT
iptables -A FORWARD -s 10.140.2.0/24 -d 10.140.1.0/24 -j REJECT
Но подождите, мы еще даже не проверили, работают ли ваши VLAN. Отправка с 10.140.1.0/24 на 10.140.2.0/24 проверяет, работает ли маршрутизация между подсетями. Чтобы проверить, действительно ли ваши VLAN изолированы друг от друга, нужно настроить устройство со статическим адресом в 10.140.2.0 / 24, подключите его к VLAN для 10.140.1.0 / 24 и посмотрите, сможет ли он достичь устройств в другой VLAN с адресами в 10.140.2.0 / 24. Этого не должно быть, если сети VLAN должным образом изолированы.