dIMbI4 Опубликовано 15 июля, 2009 · Жалоба имеется 433ан мтик. - вынос в поселок. в него воткнуты 2 радиокарты. на одну приходит канал от общей сети, к эзернетам подключены пара компов, на втором wlan-е висят пара десятков клиентов через WDS-static (наносы). все 5 интерфейсов - в bridge1, wds default bridge - тоже bridge1. задача - запретить безпроводным клиентам трефик между друг другом и разрешить доступ только у паре серверов из общей сети. компам с эзернетов нужно видеть все. мне предложили решение писать бридж фильтерс допустим для 5 клиентов так - wds1-wds2 1-3 1-4 1-5 2-3 2-4 2-5 3-4 3-5 4-5 action drop/ выглядит криврвато да и для 20-30 клиентов борсч. так-же непонял как запретить трафик и разрешить только к нескольким ипам. кого не затруднит - постучите в асю 498-два-20-269 или тут. в голову лезет решение вытащить виланами через эзернет два бриджа - приходящий и доступ и разрулить на свиче с помощью ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 июля, 2009 · Жалоба и это будет само правильно - всех в вланы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yrida Опубликовано 15 июля, 2009 · Жалоба Так уберите дефаулт форвард на влане и безпроводние клиенти траф между собой прекратят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 15 июля, 2009 · Жалоба сделайте правило Bridge Filter Rule : Action: drop Vlan'ов не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 16 июля, 2009 · Жалоба 2Dimich99: И у тебя это работает? Или пост от балды? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 · Жалоба 2Dimich99: И у тебя это работает? Или пост от балды?да именно так и работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 16 июля, 2009 · Жалоба Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 (изменено) · Жалоба Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?бридж один.Согласен выглядит оно не совсем понятно :) но работает только так. В бридже wlan и ether wlan состоит с wds1,2,3,4 а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп! Изменено 16 июля, 2009 пользователем Dimich99 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wireless_man Опубликовано 16 июля, 2009 · Жалоба Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?бридж один.Согласен выглядит оно не совсем понятно :) но работает только так. В бридже wlan и ether wlan состоит с wds1,2,3,4 а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп! Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 · Жалоба Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?бридж один.Согласен выглядит оно не совсем понятно :) но работает только так. В бридже wlan и ether wlan состоит с wds1,2,3,4 а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп! Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no абсолютно не работает. :) пробовал и в настройках wlan интерфейса и в registration table снимать эту галочку - полюбому роутит между wifi юзерами! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wireless_man Опубликовано 16 июля, 2009 (изменено) · Жалоба сорри провтыкал что вдс ... сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ... Изменено 16 июля, 2009 пользователем wireless_man Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 · Жалоба 2dIMbI4: Мой вариант у Вас заработал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 16 июля, 2009 · Жалоба пока не появились клиенты .... у всех чтото точки выключены. вечером увидим. но я сомневаюсь в работоспособности вашего варианта.. вечером применю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 (изменено) · Жалоба сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...малость провтыкалу меня бридж это wds1,2,3,4 и wlan Говорите что wlan можно выкинуть с бриджа? а между ether и беспроводкой идет роутинг а не бриджинг. и мое правило фильтрации работает хорошо.Клиент клиента не видить ни на IP ни на ARP уровне. Изменено 16 июля, 2009 пользователем Dimich99 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 16 июля, 2009 · Жалоба Вот ключевая фраза: "а между ether и беспроводкой идет роутинг а не бриджинг." У меня-то бриджинг. Поэтому приходится дропать траф между вдс-ами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X0t@bych Опубликовано 16 июля, 2009 · Жалоба Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 ноября, 2009 · Жалоба А если клиенты в вдс, а отправлять их надо на Ether1 - который тоже в бридж включен как быть? Ether1, Wlan1, Wds1...Wds10 в бридже. Надо запретить траф между клиентами, однако разрешить им доступ на Ether1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 · Жалоба Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no. +1, ВДС на клиентах это очень редкий случай, и то в варианте какогото п2п линка, обычного стейшн хватает и самое головное что так правильно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 28 ноября, 2009 · Жалоба кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 · Жалоба кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке. ниплохо вы розкачали МТ+всенапрямленку!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 ноября, 2009 · Жалоба Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 · Жалоба Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться. что-то не то вы говорите. классика: ар бридж на МТ - стейшн на УБНТ - пппое пролетает гуд. вот если ваша ар бридж получате инет от клиента то тогда нужен п2п, что есть вдс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 ноября, 2009 · Жалоба А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 · Жалоба А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись. ну подменит точка всех 10 юзеров на свой мак, немного нагрузки больше, но работать будет...клиент-база) хотя п2п конечно лучше) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 ноября, 2009 · Жалоба Не будет это работать - клиенты отваливаються через пару минут отсидки. Да и тем более на сервере очень удобно знать мак адрес клиента. Задал вопрос этот в техподдержку так и не ответили. Сам потыкал фильтры разные - что-то нифига не получаеться выборочно зарезать. Ведь трафик через бридж как я понял не ходит, а идет напрямую с wds1..wds10 на ether1 - потому что в бридже никакой трафик не показываеться. Конечно можно попробовать создать 2 фильтра. В одном дропать все что не идет на ether1, в другом дропать все что пришло не с ether1 - только вот пробовать на рабочих точках как-то не охота, попробую завтра тестовый стенд собрать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...