Xaser Posted October 6, 2015 · Report post Добрый день, подскажите пожажалуйста, каким образом можно сделать изоляцию клиентов на микротике, на убнт все просто поставил галочку и все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted October 6, 2015 (edited) · Report post Ровно так же и здесь, только снимаете: Edited October 6, 2015 by DRiVen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 · Report post Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaser Posted October 19, 2015 · Report post Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово. Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop Out interface = ether1 = drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 19, 2015 · Report post Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop Out interface = ether1 = drop Например вот так, интернет приходит через eoip-tunnel1, который сбриджеван с беспроводным интерфейсом: /interface bridge filter add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 · Report post правило прописал пакеты пошли а клиенты все равно ходят к друг другу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 14, 2019 · Report post 49 минут назад, vasily сказал: правило прописал пакеты пошли а клиенты все равно ходят к друг другу по моему правило бестолковое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 · Report post а как правильно сделать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 14, 2019 · Report post 18 минут назад, vasily сказал: а как правильно сделать а что на базе просто галка изоляции клиентов отсутствует? и ждем Антошку (Saaba) я не уверен в своих силах ))))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 · Report post галка присутствует но сняв ее ничего не меняется клиенты могут зайти на любое устройство в сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 14, 2019 · Report post 1 час назад, vasily сказал: могут зайти на любое устройство в сети так так, изоляция это то чтобы клиенты не могли обмениваться данными между собой внутри ОДНОЙ БС а что именно вы хотите? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 (edited) · Report post я хочу чтобы клиенты не могли попасть на оборудование к друг другу. то есть клиент набрав адрес другого не смог зайти на его оборудование. В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. Edited May 14, 2019 by vasily Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted May 14, 2019 · Report post 43 минуты назад, vasily сказал: В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. У МТ это default forward, по умолчанию включен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bg80211 Posted May 14, 2019 · Report post У вас ТАМ L3 или L2 ?? Если L3 можно IP Fileter применить а по L2 вы что отдаете ?. Опишите точней Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 · Report post Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adsl Posted May 15, 2019 · Report post На форуме советовали отдельный vlan прокидывать для управления, а так можно порты поменять, например 80 -> 8801. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 15, 2019 (edited) · Report post 20 часов назад, vasily сказал: Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. Ну например можно запретить на бридже БС доступ к сети которая не должна быть доступна. Примерно так add action=drop chain=forward dst-address=10.0.0.0/24 in-interface=bridge_Lan где 10.0.0.0/24 сеть к которой запрещен доступ bridge_Lan бридж на вашей базовой станции Опять же вы тут упомянули pppoe server, а значит как я понял раздаёте какие то сети клиентам этого сервера, ну и тогда запретите этим клиентам (in-interface=all ppp) доступ к сетям куда им ходить не нужно, так же в качестве in-interface может стоять all wireless если абоненты пдключаются к БС напрямую. Я так понял по dhcp вы ip клиентам не раздаёте? Если раздаёте то приведенное выше правило сработает. Если же у вас после station wds стоит коммутатор и на нём сидят пользователи с ip в одной сети (не pppoe), то вы вообще им не запретите между собой пинговаться т.к. они напрямую будут это делать минуя БС. В общем вариантов миллион вы опишите куда должен быть доступ а куда нет, и что у вас находится после station wds. Edited May 15, 2019 by VGA Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 15, 2019 · Report post авторизацию сделайте влан на клиента и все будете рулить в ядре и вообще в комм сети следить за безопасностью компов и оборудования клиента это глупость имхо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bg80211 Posted May 15, 2019 (edited) · Report post 21 час назад, vasily сказал: Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. для чего sation wds ? если же station bridge . На wlan интерефесе оставляете тока vlan управления и pppoe- vlan , поднимаете pppoe-clie , и натом отдаете. на ether1 будет своя подсеть. в ip firewal дропите правиланами на подсеть упарвления и все . station wds подходит для p2p сети. Edited May 15, 2019 by bg80211 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 15, 2019 · Report post 2 часа назад, Constantin сказал: и вообще в комм сети следить за безопасностью компов и оборудования клиента это глупость имхо согласен, да и откуда там вообще возьмётся опасность при максимум 50 пользователях подключенных к БС чтобы их изолировать еще друг от друга. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 16, 2019 · Report post 20 часов назад, VGA сказал: да и откуда там вообще возьмётся опасность если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 16, 2019 · Report post 3 часа назад, Constantin сказал: если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании и плюс в этих 50 пользователях должен быть человек который сможет и захочет это сделать. Очень маловероятная ситуация, которая в теории конечно может произойти, но как то изголяться из-за этого не имеет смысла т.к. это всё равно что защищать сеть от падения самолёта на неё, произойти конечно может но крайне маловероятно. А вообще если говорить об юбикюти то там всего лишь пользователи сидящие за одним station не пингуют пользователей за другой station и её саму, но любой клиент нормально пингует саму базовую станцию и пользователей в сети самой БС. А это на микротике легко делается как кто то уже писал выше просто запретом форварда когда in-intrface=all wireless и out-intrface=all wireless. В общем изолировать клиентов как на юбикюти на микротике нету проблем, а можно даже еще лучше и разнообразней. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted May 17, 2019 · Report post Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 22, 2019 · Report post В 17.05.2019 в 08:49, EugeneTV сказал: Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе? А потом еще запрещать трафик между этими айпи. Ну да это дело хозяйское, видать есть в этом нужда, возможно есть какието в этом потребности, тв приставки там например которые не умеют ппое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaser Posted June 1, 2019 · Report post Так все таки, какое решение, если wlan и lan в бридже, как изолировать клиентов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...