Xaser Опубликовано 6 октября, 2015 · Жалоба Добрый день, подскажите пожажалуйста, каким образом можно сделать изоляцию клиентов на микротике, на убнт все просто поставил галочку и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 6 октября, 2015 (изменено) · Жалоба Ровно так же и здесь, только снимаете: Изменено 6 октября, 2015 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 октября, 2015 · Жалоба Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xaser Опубликовано 19 октября, 2015 · Жалоба Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово. Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop Out interface = ether1 = drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 октября, 2015 · Жалоба Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop Out interface = ether1 = drop Например вот так, интернет приходит через eoip-tunnel1, который сбриджеван с беспроводным интерфейсом: /interface bridge filter add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasily Опубликовано 14 мая, 2019 · Жалоба правило прописал пакеты пошли а клиенты все равно ходят к друг другу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 14 мая, 2019 · Жалоба 49 минут назад, vasily сказал: правило прописал пакеты пошли а клиенты все равно ходят к друг другу по моему правило бестолковое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasily Опубликовано 14 мая, 2019 · Жалоба а как правильно сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 14 мая, 2019 · Жалоба 18 минут назад, vasily сказал: а как правильно сделать а что на базе просто галка изоляции клиентов отсутствует? и ждем Антошку (Saaba) я не уверен в своих силах ))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasily Опубликовано 14 мая, 2019 · Жалоба галка присутствует но сняв ее ничего не меняется клиенты могут зайти на любое устройство в сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 14 мая, 2019 · Жалоба 1 час назад, vasily сказал: могут зайти на любое устройство в сети так так, изоляция это то чтобы клиенты не могли обмениваться данными между собой внутри ОДНОЙ БС а что именно вы хотите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasily Опубликовано 14 мая, 2019 (изменено) · Жалоба я хочу чтобы клиенты не могли попасть на оборудование к друг другу. то есть клиент набрав адрес другого не смог зайти на его оборудование. В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. Изменено 14 мая, 2019 пользователем vasily Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 14 мая, 2019 · Жалоба 43 минуты назад, vasily сказал: В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. У МТ это default forward, по умолчанию включен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bg80211 Опубликовано 14 мая, 2019 · Жалоба У вас ТАМ L3 или L2 ?? Если L3 можно IP Fileter применить а по L2 вы что отдаете ?. Опишите точней Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasily Опубликовано 14 мая, 2019 · Жалоба Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsl Опубликовано 15 мая, 2019 · Жалоба На форуме советовали отдельный vlan прокидывать для управления, а так можно порты поменять, например 80 -> 8801. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 15 мая, 2019 (изменено) · Жалоба 20 часов назад, vasily сказал: Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. Ну например можно запретить на бридже БС доступ к сети которая не должна быть доступна. Примерно так add action=drop chain=forward dst-address=10.0.0.0/24 in-interface=bridge_Lan где 10.0.0.0/24 сеть к которой запрещен доступ bridge_Lan бридж на вашей базовой станции Опять же вы тут упомянули pppoe server, а значит как я понял раздаёте какие то сети клиентам этого сервера, ну и тогда запретите этим клиентам (in-interface=all ppp) доступ к сетям куда им ходить не нужно, так же в качестве in-interface может стоять all wireless если абоненты пдключаются к БС напрямую. Я так понял по dhcp вы ip клиентам не раздаёте? Если раздаёте то приведенное выше правило сработает. Если же у вас после station wds стоит коммутатор и на нём сидят пользователи с ip в одной сети (не pppoe), то вы вообще им не запретите между собой пинговаться т.к. они напрямую будут это делать минуя БС. В общем вариантов миллион вы опишите куда должен быть доступ а куда нет, и что у вас находится после station wds. Изменено 15 мая, 2019 пользователем VGA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 15 мая, 2019 · Жалоба авторизацию сделайте влан на клиента и все будете рулить в ядре и вообще в комм сети следить за безопасностью компов и оборудования клиента это глупость имхо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bg80211 Опубликовано 15 мая, 2019 (изменено) · Жалоба 21 час назад, vasily сказал: Я не знаю как вам правильнее описать. 1. Есть центральный микротик на нем поднят pppoe server. 2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds. 3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС. Я так понимаю что это не правильно клиент не должен набрав адрес другого попасть на вэбморду БС и абонента в сети. Как то так. для чего sation wds ? если же station bridge . На wlan интерефесе оставляете тока vlan управления и pppoe- vlan , поднимаете pppoe-clie , и натом отдаете. на ether1 будет своя подсеть. в ip firewal дропите правиланами на подсеть упарвления и все . station wds подходит для p2p сети. Изменено 15 мая, 2019 пользователем bg80211 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 15 мая, 2019 · Жалоба 2 часа назад, Constantin сказал: и вообще в комм сети следить за безопасностью компов и оборудования клиента это глупость имхо согласен, да и откуда там вообще возьмётся опасность при максимум 50 пользователях подключенных к БС чтобы их изолировать еще друг от друга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 16 мая, 2019 · Жалоба 20 часов назад, VGA сказал: да и откуда там вообще возьмётся опасность если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 16 мая, 2019 · Жалоба 3 часа назад, Constantin сказал: если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании и плюс в этих 50 пользователях должен быть человек который сможет и захочет это сделать. Очень маловероятная ситуация, которая в теории конечно может произойти, но как то изголяться из-за этого не имеет смысла т.к. это всё равно что защищать сеть от падения самолёта на неё, произойти конечно может но крайне маловероятно. А вообще если говорить об юбикюти то там всего лишь пользователи сидящие за одним station не пингуют пользователей за другой station и её саму, но любой клиент нормально пингует саму базовую станцию и пользователей в сети самой БС. А это на микротике легко делается как кто то уже писал выше просто запретом форварда когда in-intrface=all wireless и out-intrface=all wireless. В общем изолировать клиентов как на юбикюти на микротике нету проблем, а можно даже еще лучше и разнообразней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 17 мая, 2019 · Жалоба Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 22 мая, 2019 · Жалоба В 17.05.2019 в 08:49, EugeneTV сказал: Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе? А потом еще запрещать трафик между этими айпи. Ну да это дело хозяйское, видать есть в этом нужда, возможно есть какието в этом потребности, тв приставки там например которые не умеют ппое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xaser Опубликовано 1 июня, 2019 · Жалоба Так все таки, какое решение, если wlan и lan в бридже, как изолировать клиентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...