Firewall-Regel auf MikroTik-Router?
Ich habe hier einen Raspberry Pi als Webserver rumstehen. Jetzt will ich, wenn der Server gehackt ist, dass man nicht auf die anderen Geräte in unserem Netzwerk zugreifen kann.
Unser Netzwerk sieht ungefähr so aus:
WLAN
DSL->Fritz!Box ---------------> Handys, Laptop, etc.
_______\/
______Switch -> MikroTik-Router->Raspberry Pi
_______\/
____Desktop-PCs, NAS, etc.
Ich habe im MikroTik-Router eine Firewall-Regel eingestellt, die alles dropt, was vom RasPi kommt und nach 192.168.178.0/24 geht. Der RasPi hat die IP-Adresse 192.168.178.14.
Wenn ich mich in den RasPi mit SSH einlogge, kann ich das normal tun. Auch wenn ich vom RasPi irgendetwas in unserem Netzwerk ping, funktioniert es.
Liegt das daran, dass der RasPi im gleichen Subnetz ist wie alle anderen?
Oder hab ich bei der Firewall-Regel-Konfiguration irgendetwas verfummelt?
1 Antwort
Liegt das daran, dass der RasPi im gleichen Subnetz ist wie alle anderen?
Ja. Deine Requests gehen einfach nie uebers Gateway, darum wird da auch nix geblockt.
Das was du eigentlich suchst, ist eine DMZ; also ein dediziertes Netz wo nur der Raspi drin ist und wo die Requests zu den anderen Geraeten zwingend uebers Gateway gehen muessen.
Entweder machst du am Mikrotik ein neues Subnetz auf und routest alles andere gegen die Fritzbox, oder du ziehst alle Subnetze auf den Mikrotik und laesst die Fritzbox nur noch Internet machen.
Paketfilter Regeln blieben dann so wie du sie schon gebaut hast.
Wie würde ich das dann in der Konfiguration umsetzen?