[dIMbI4]

имеется 433ан мтик. - вынос в поселок. в него воткнуты 2 радиокарты. на одну приходит канал от общей сети, к эзернетам подключены пара компов, на втором wlan-е висят пара десятков клиентов через WDS-static (наносы). все 5 интерфейсов - в bridge1, wds default bridge - тоже bridge1. задача - запретить безпроводным клиентам трефик между друг другом и разрешить доступ только у паре серверов из общей сети. компам с эзернетов нужно видеть все.

мне предложили решение писать бридж фильтерс допустим для 5 клиентов так - wds1-wds2 1-3 1-4 1-5 2-3 2-4 2-5 3-4 3-5 4-5 action drop/

выглядит криврвато да и для 20-30 клиентов борсч. так-же непонял как запретить трафик и разрешить только к нескольким ипам.

кого не затруднит - постучите в асю 498-два-20-269 или тут.

в голову лезет решение вытащить виланами через эзернет два бриджа - приходящий и доступ и разрулить на свиче с помощью ACL

[L-ZiX]

и это будет само правильно - всех в вланы

[yrida]

Так уберите дефаулт форвард на влане и безпроводние клиенти траф между собой прекратят.

[Dimich99]

сделайте правило Bridge Filter Rule :

Action: drop

 

Vlan'ов не надо.

 

[SoUgly]

2Dimich99: И у тебя это работает? Или пост от балды?

[Dimich99]

2Dimich99: И у тебя это работает? Или пост от балды?

да именно так и работает.

 

[SoUgly]

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?

[Dimich99]

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?

бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Изменено 16 июля, 2009 пользователем Dimich99

[wireless_man]

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?

бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no

[Dimich99]

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?

бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no

абсолютно не работает. :) пробовал и в настройках wlan интерфейса и в registration table снимать эту галочку - полюбому роутит между wifi юзерами!

 

[wireless_man]

сорри провтыкал что вдс ... сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...

Изменено 16 июля, 2009 пользователем wireless_man

[Dimich99]

2dIMbI4: Мой вариант у Вас заработал?

[dIMbI4]

пока не появились клиенты .... у всех чтото точки выключены. вечером увидим. но я сомневаюсь в работоспособности вашего варианта.. вечером применю.

[Dimich99]

сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...

малость провтыкал

у меня бридж это wds1,2,3,4 и wlan

Говорите что wlan можно выкинуть с бриджа?

а между ether и беспроводкой идет роутинг а не бриджинг.

и мое правило фильтрации работает хорошо.Клиент клиента не видить ни на IP ни на ARP уровне.

Изменено 16 июля, 2009 пользователем Dimich99

[SoUgly]

Вот ключевая фраза: "а между ether и беспроводкой идет роутинг а не бриджинг."

У меня-то бриджинг. Поэтому приходится дропать траф между вдс-ами.

[X0t@bych]

Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no.

[Saab95]

А если клиенты в вдс, а отправлять их надо на Ether1 - который тоже в бридж включен как быть?

 

Ether1, Wlan1, Wds1...Wds10 в бридже. Надо запретить траф между клиентами, однако разрешить им доступ на Ether1.

[fastvd]

Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no.

+1, ВДС на клиентах это очень редкий случай, и то в варианте какогото п2п линка, обычного стейшн хватает и самое головное что так правильно)

[dIMbI4]

кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке.

[fastvd]

кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке.

ниплохо вы розкачали МТ+всенапрямленку!!!

[Saab95]

Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться.

[fastvd]

Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться.

что-то не то вы говорите. классика: ар бридж на МТ - стейшн на УБНТ - пппое пролетает гуд. вот если ваша ар бридж получате инет от клиента то тогда нужен п2п, что есть вдс.

[Saab95]

А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись.

[fastvd]

А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись.

ну подменит точка всех 10 юзеров на свой мак, немного нагрузки больше, но работать будет...клиент-база) хотя п2п конечно лучше)

[Saab95]

Не будет это работать - клиенты отваливаються через пару минут отсидки.

Да и тем более на сервере очень удобно знать мак адрес клиента.

 

Задал вопрос этот в техподдержку так и не ответили.

Сам потыкал фильтры разные - что-то нифига не получаеться выборочно зарезать.

Ведь трафик через бридж как я понял не ходит, а идет напрямую с wds1..wds10 на ether1 - потому что в бридже никакой трафик не показываеться.

Конечно можно попробовать создать 2 фильтра. В одном дропать все что не идет на ether1, в другом дропать все что пришло не с ether1 - только вот пробовать на рабочих точках как-то не охота, попробую завтра тестовый стенд собрать.