Xaser Posted October 6, 2015 Добрый день, подскажите пожажалуйста, каким образом можно сделать изоляцию клиентов на микротике, на убнт все просто поставил галочку и все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted October 6, 2015 (edited) Ровно так же и здесь, только снимаете: Edited October 6, 2015 by DRiVen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaser Posted October 19, 2015 Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово. Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop Out interface = ether1 = drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 19, 2015 Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop Out interface = ether1 = drop Например вот так, интернет приходит через eoip-tunnel1, который сбриджеван с беспроводным интерфейсом: /interface bridge filter add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 правило прописал пакеты пошли а клиенты все равно ходят к друг другу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 14, 2019 49 минут назад, vasily сказал: правило прописал пакеты пошли а клиенты все равно ходят к друг другу по моему правило бестолковое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 а как правильно сделать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 14, 2019 18 минут назад, vasily сказал: а как правильно сделать а что на базе просто галка изоляции клиентов отсутствует? и ждем Антошку (Saaba) я не уверен в своих силах ))))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 галка присутствует но сняв ее ничего не меняется клиенты могут зайти на любое устройство в сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 14, 2019 1 час назад, vasily сказал: могут зайти на любое устройство в сети так так, изоляция это то чтобы клиенты не могли обмениваться данными между собой внутри ОДНОЙ БС а что именно вы хотите? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 (edited) я хочу чтобы клиенты не могли попасть на оборудование к друг другу. то есть клиент набрав адрес другого не смог зайти на его оборудование. В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. Edited May 14, 2019 by vasily Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted May 14, 2019 43 минуты назад, vasily сказал: В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. У МТ это default forward, по умолчанию включен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bg80211 Posted May 14, 2019 У вас ТАМ L3 или L2 ?? Если L3 можно IP Fileter применить а по L2 вы что отдаете ?. Опишите точней Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vasily Posted May 14, 2019 Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adsl Posted May 15, 2019 На форуме советовали отдельный vlan прокидывать для управления, а так можно порты поменять, например 80 -> 8801. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 15, 2019 (edited) 20 часов назад, vasily сказал: Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. Ну например можно запретить на бридже БС доступ к сети которая не должна быть доступна. Примерно так add action=drop chain=forward dst-address=10.0.0.0/24 in-interface=bridge_Lan где 10.0.0.0/24 сеть к которой запрещен доступ bridge_Lan бридж на вашей базовой станции Опять же вы тут упомянули pppoe server, а значит как я понял раздаёте какие то сети клиентам этого сервера, ну и тогда запретите этим клиентам (in-interface=all ppp) доступ к сетям куда им ходить не нужно, так же в качестве in-interface может стоять all wireless если абоненты пдключаются к БС напрямую. Я так понял по dhcp вы ip клиентам не раздаёте? Если раздаёте то приведенное выше правило сработает. Если же у вас после station wds стоит коммутатор и на нём сидят пользователи с ip в одной сети (не pppoe), то вы вообще им не запретите между собой пинговаться т.к. они напрямую будут это делать минуя БС. В общем вариантов миллион вы опишите куда должен быть доступ а куда нет, и что у вас находится после station wds. Edited May 15, 2019 by VGA Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 15, 2019 авторизацию сделайте влан на клиента и все будете рулить в ядре и вообще в комм сети следить за безопасностью компов и оборудования клиента это глупость имхо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bg80211 Posted May 15, 2019 (edited) 21 час назад, vasily сказал: Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. для чего sation wds ? если же station bridge . На wlan интерефесе оставляете тока vlan управления и pppoe- vlan , поднимаете pppoe-clie , и натом отдаете. на ether1 будет своя подсеть. в ip firewal дропите правиланами на подсеть упарвления и все . station wds подходит для p2p сети. Edited May 15, 2019 by bg80211 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 15, 2019 2 часа назад, Constantin сказал: и вообще в комм сети следить за безопасностью компов и оборудования клиента это глупость имхо согласен, да и откуда там вообще возьмётся опасность при максимум 50 пользователях подключенных к БС чтобы их изолировать еще друг от друга. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted May 16, 2019 20 часов назад, VGA сказал: да и откуда там вообще возьмётся опасность если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 16, 2019 3 часа назад, Constantin сказал: если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании и плюс в этих 50 пользователях должен быть человек который сможет и захочет это сделать. Очень маловероятная ситуация, которая в теории конечно может произойти, но как то изголяться из-за этого не имеет смысла т.к. это всё равно что защищать сеть от падения самолёта на неё, произойти конечно может но крайне маловероятно. А вообще если говорить об юбикюти то там всего лишь пользователи сидящие за одним station не пингуют пользователей за другой station и её саму, но любой клиент нормально пингует саму базовую станцию и пользователей в сети самой БС. А это на микротике легко делается как кто то уже писал выше просто запретом форварда когда in-intrface=all wireless и out-intrface=all wireless. В общем изолировать клиентов как на юбикюти на микротике нету проблем, а можно даже еще лучше и разнообразней. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EugeneTV Posted May 17, 2019 Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted May 22, 2019 В 17.05.2019 в 08:49, EugeneTV сказал: Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе? А потом еще запрещать трафик между этими айпи. Ну да это дело хозяйское, видать есть в этом нужда, возможно есть какието в этом потребности, тв приставки там например которые не умеют ппое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaser Posted June 1, 2019 Так все таки, какое решение, если wlan и lan в бридже, как изолировать клиентов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...