[Xaser]

Добрый день, подскажите пожажалуйста, каким образом можно сделать изоляцию клиентов на микротике, на убнт все просто поставил галочку и все.

[DRiVen]

Ровно так же и здесь, только снимаете:

Изменено 6 октября, 2015 пользователем DRiVen

[Saab95]

Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово.

[Xaser]

Это работает только в режиме station, если абоненты в station-WDS, то нужно в бридже на базе создавать правила блокировки, на основе интерфейсов, если входящий интерфейс не ether1, и если исходящий интерфейс не ether1, то дроп. Если у вас база работает сразу НАТом и на бридже стоит IP адрес, то все еще проще - указываете ин и оут бридже = ваш бридж и действие дроп и готово.

Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop

Out interface = ether1 = drop

[Saab95]

Да база и клиенты в WDS, но только не понял , получается : in interface = ether = drop

Out interface = ether1 = drop

 

Например вот так, интернет приходит через eoip-tunnel1, который сбриджеван с беспроводным интерфейсом:

 

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 in-interface=!eoip-tunnel1 out-bridge=bridge1 out-interface=!eoip-tunnel1

[vasily]

правило прописал пакеты пошли а клиенты все равно ходят к друг другу

[Constantin]

49 минут назад, vasily сказал:

правило прописал пакеты пошли а клиенты все равно ходят к друг другу

по моему правило бестолковое

 

[vasily]

а как правильно сделать 

[Constantin]

18 минут назад, vasily сказал:

а как правильно сделать

а что на базе просто галка  изоляции клиентов отсутствует?

 

и ждем Антошку (Saaba)  я не уверен в своих силах )))))

[vasily]

галка присутствует но сняв ее ничего не меняется клиенты могут зайти на любое устройство в сети

[Constantin]

1 час назад, vasily сказал:

могут зайти на любое устройство в сети

так так, изоляция это то чтобы клиенты не могли обмениваться данными между собой внутри ОДНОЙ БС

 

а что именно вы хотите?

 

[vasily]

я хочу чтобы клиенты не могли попасть на оборудование к друг другу. то есть клиент набрав адрес другого не смог зайти на его оборудование.

В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. 

Изменено 14 мая, 2019 пользователем vasily

[SSD]

43 минуты назад, vasily сказал:

 

В Ubiquiti есть галка Client Isolation поставив которую клиенты не могут попасть на оборудование другого клиента. 

 

У МТ это default forward, по умолчанию включен.

[bg80211]

У вас ТАМ L3 или L2 ?? Если L3 можно IP Fileter применить а по L2 вы что отдаете ?. Опишите точней 

[vasily]

Я не знаю как вам правильнее описать. 

1. Есть центральный микротик на нем поднят pppoe server. 

2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds.

3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС.

 Я так понимаю что это не правильно клиент не должен  набрав адрес другого попасть на вэбморду БС и абонента в сети.

Как то так.

 

[adsl]

На форуме советовали отдельный vlan прокидывать для управления, а так можно порты поменять, например 80 -> 8801.

[VGA]

20 часов назад, vasily сказал:

Я не знаю как вам правильнее описать. 

1. Есть центральный микротик на нем поднят pppoe server.  

2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds.

3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС.

 Я так понимаю что это не правильно клиент не должен  набрав адрес другого попасть на вэбморду БС и абонента в сети.

Как то так.

 

Ну например можно запретить на бридже БС  доступ к сети которая не должна быть доступна. Примерно так

add action=drop chain=forward dst-address=10.0.0.0/24 in-interface=bridge_Lan

где 10.0.0.0/24 сеть к которой запрещен доступ bridge_Lan бридж на вашей базовой станции

Опять же вы тут упомянули pppoe server, а значит как я понял раздаёте какие то сети клиентам этого сервера, ну и тогда запретите этим клиентам (in-interface=all ppp) доступ к сетям куда им ходить не нужно, так же в качестве in-interface может стоять all wireless если абоненты пдключаются к БС напрямую. Я так понял по dhcp вы ip клиентам не раздаёте? Если раздаёте то приведенное выше правило сработает.  Если же у вас после station wds стоит коммутатор и на нём сидят пользователи с ip в одной сети (не pppoe), то вы вообще им не запретите между собой пинговаться т.к. они напрямую будут это делать минуя БС. В общем вариантов миллион вы опишите куда должен быть доступ а куда нет, и что у вас находится после station wds.

Изменено 15 мая, 2019 пользователем VGA

[Constantin]

авторизацию сделайте влан на клиента и все будете рулить в ядре

 и вообще в комм сети следить за безопасностью  компов и оборудования клиента это глупость имхо

 

[bg80211]

21 час назад, vasily сказал:

Я не знаю как вам правильнее описать. 

1. Есть центральный микротик на нем поднят pppoe server. 

2. далее иду БС микротик. БС ether1 и wlan1 добавлены в бридж. БС с WDS и клиенты тоже station wds.

3. Я могу сидя у клиента зайти на любого другого абонента из моей сети. И не только на клиента но и на любую БС.

 Я так понимаю что это не правильно клиент не должен  набрав адрес другого попасть на вэбморду БС и абонента в сети.

Как то так.

 

для чего sation wds ? если же station bridge .  На wlan интерефесе оставляете тока vlan управления и pppoe- vlan , поднимаете pppoe-clie ,  и натом отдаете.  на ether1 будет своя подсеть.   в ip firewal дропите правиланами на подсеть упарвления и все . station wds подходит для p2p сети.

Изменено 15 мая, 2019 пользователем bg80211

[VGA]

2 часа назад, Constantin сказал:

 и вообще в комм сети следить за безопасностью  компов и оборудования клиента это глупость имхо

 

согласен, да и откуда там вообще возьмётся опасность при максимум 50 пользователях подключенных к БС чтобы их изолировать еще друг от друга.

[Constantin]

20 часов назад, VGA сказал:

да и откуда там вообще возьмётся опасность

если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании

[VGA]

3 часа назад, Constantin сказал:

если у клиента нет роутера и комп подключен напрямую в сеть да и еще расшарены ресурсы, то легко могут уйти фотки, или рпсплодиться какой нибудь червяк и тд, вы продаете инет а все остальное вы можете только просвятить клиента не более а не заниматься онанизмом на своем оборудовании

и плюс в этих 50 пользователях должен быть человек который сможет и захочет это сделать. Очень маловероятная ситуация, которая в теории конечно может произойти, но как то изголяться из-за этого не имеет смысла т.к. это всё равно что защищать сеть от падения самолёта на неё, произойти конечно может но крайне маловероятно.

 

А вообще если говорить об юбикюти то там всего лишь пользователи сидящие за одним station не пингуют пользователей за другой station и её саму, но любой клиент нормально пингует саму базовую станцию и пользователей в сети самой БС. А это на микротике легко делается как кто то уже писал выше просто запретом форварда когда in-intrface=all wireless и out-intrface=all wireless. В общем изолировать клиентов как на юбикюти на микротике нету проблем, а можно даже еще лучше и разнообразней.

[EugeneTV]

Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе?

[VGA]

В 17.05.2019 в 08:49, EugeneTV сказал:

Я может чего-то не понимаю, но если клиенты на PPPoE, то зачем им давать адрес на физическом интерфейсе?

А потом еще запрещать трафик между этими айпи. Ну да это дело хозяйское, видать есть в этом нужда, возможно есть какието в этом потребности, тв приставки там например которые не умеют ппое

[Xaser]

Так все таки, какое решение, если wlan и lan в бридже, как изолировать клиентов