Evitar q host1 vea carpetas de host2 de otro segmento de red

[aatrevidoo]

Hola buen dia, espero alguien me pueda auxiliar, con el siguiente problema:
No puedo lograr evitar que maquinas que se encuentran en un segmento de red, vean a maquinas de otro segmento, lo que quiero es que cada grupo de maquinas se vean solo entre las que pertenecen a ese grupo o segmento de red.

lo que he hecho e slo siguiente:
mi red internal o mi red de switche tiene una ip por ejemplo la 192.168.1.3 y a esta red internal colgue mis segmentos secundarios de red, por ejemplo la:

192.168.10.0/24 (host1 ip: 192.168.10.1 mask: 255.255.255.0 gateway 192.168.10.254)
192.168.20.0/24 (host2 ip: 192.168.20.1 mask: 255.255.255.0 gateway 192.168.20.254)

- una vez configurado cada host en cada segmento independiente, le di politcas de salida a internet diferentes a cada una, y sin problemas funciona el filtro y la salida ainternet.
- Tiro un ping del host1 al host2 y obviamente no da señal, ya uqe no tengo ninguna politica que me comunique de un segmento a otro en la internal.
- de la misma manera en el navegador del host1 (192.168.10.1), tecleo la ip del host 2 (192.168.20.1), obvio no veo nada
pero aqui viene el problema:
- despues comparti una carpeta en el host1 por ejemplo datos, y desde el host2 en la barra de direcciones de mi pc tecleo : \\nombre de la pc del host1 y tomala me deja ver lo que estoy compartiendo en el host1. ( y repito el ping si no lo deja)
se que culaquiera me diria, pz no compartas nada en el host1 y nadie vera nada, pero pz requiero que si se vea esa carpeta del host1, pero unicamente para maquinas que esten en su mismo segmento, y no para maquinas que estan en un segmento de red diferente:

ya probe haciendo una politica de ren internal a ren internal denegando todos los servicios y ni asi me funciona: entro al host1 y en el explorado de red sigo viendo equios de otros segmentos diferentes

alguien que me de un aidea clara y concisa de que hacer para lograr mi objetivo.

[gabyrossi]

hola los segmentos de res estan todos en la misma lan?
cuando es la red/mascara de tu interface lan?

si estan todas en la misma lan siempre se van a ver ya que no pasa ese trafico por el fortigate, si no que se ven por swicth haciendo brodcast.

saludos

[aatrevidoo]

te agradezco que me respondas, pero describi muy clarito lo que hice en lineas arriba, en toda mi red interna es donde tengo varios departamentos con segementos diferentes pero todos estos segmentos estan colgados a la ip 192.168.2.1 de mi red internal del fortigate, y pbviamente no salen a ningun lado, ya que todas estan en mi red internal,
pero alguna sugerencia clara y concisa para lograr lo que quiero, arriba describi lo que hice, y solo tengo un fortigate 200b para toda mi red y mi tipo de red internal esta en switche mode

[Crizz]

Hola, Saludos

No soy un experto pero me parece interesante tu cuestion.

No estoy seguro que esto sea problema del fgt. pudiera ser que eso es a nivel switch

como describes el problema parecer ser que aunque tienes dos redes de segmentos diferentes me parece que solo tienes un cable conectado al fgt para tu lan en cierto puerto con la ip 192.168.2.1 no se si con ruteo estatico en el fgt estes jalando estas 2 redes a ese puerto.

Que tipo de switch es el que le esta entregando tu lan al fortigate? por que si estas dos redes estan configuradas en el switch tendrias que verificar que no haya algun ruteo que te este pegando.

Saludos.

[aatrevidoo]

analizando, creo que lo que quiero se resuelve con Vlans,

[Crizz]

O tra es que si crees que el fgt es el problema arma una politica denegando el puerto y/o servicio 139 que es el comparticion de archivos.


una politica de esta para cada segmento de red hasta abajo.


Saludos.

[gabyrossi]

Hola, cuando dices redes secundarias, las coinfiguraste en el misma interface¿? si es asi no te va a servir, y nos es muy eficiente.
podrias separar esas interfaces en forma individual, para que cada interface del swicth de la interna sea una red independiente o arman vlan como te comentaron.

suerte.

[jlfelipe]

Puedes comprobar que la MAC del host destino es la misma que la del GW? con eso confirmamos que pasa por el forti.
Si es así pues comprueba los logs a ver con que policyid machea.

Saludos