dIMbI4 Опубликовано 15 июля, 2009 имеется 433ан мтик. - вынос в поселок. в него воткнуты 2 радиокарты. на одну приходит канал от общей сети, к эзернетам подключены пара компов, на втором wlan-е висят пара десятков клиентов через WDS-static (наносы). все 5 интерфейсов - в bridge1, wds default bridge - тоже bridge1. задача - запретить безпроводным клиентам трефик между друг другом и разрешить доступ только у паре серверов из общей сети. компам с эзернетов нужно видеть все. мне предложили решение писать бридж фильтерс допустим для 5 клиентов так - wds1-wds2 1-3 1-4 1-5 2-3 2-4 2-5 3-4 3-5 4-5 action drop/ выглядит криврвато да и для 20-30 клиентов борсч. так-же непонял как запретить трафик и разрешить только к нескольким ипам. кого не затруднит - постучите в асю 498-два-20-269 или тут. в голову лезет решение вытащить виланами через эзернет два бриджа - приходящий и доступ и разрулить на свиче с помощью ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 июля, 2009 и это будет само правильно - всех в вланы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yrida Опубликовано 15 июля, 2009 Так уберите дефаулт форвард на влане и безпроводние клиенти траф между собой прекратят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 15 июля, 2009 сделайте правило Bridge Filter Rule : Action: drop Vlan'ов не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 16 июля, 2009 2Dimich99: И у тебя это работает? Или пост от балды? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 2Dimich99: И у тебя это работает? Или пост от балды?да именно так и работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 16 июля, 2009 Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 (изменено) Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?бридж один.Согласен выглядит оно не совсем понятно :) но работает только так. В бридже wlan и ether wlan состоит с wds1,2,3,4 а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп! Изменено 16 июля, 2009 пользователем Dimich99 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wireless_man Опубликовано 16 июля, 2009 Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?бридж один.Согласен выглядит оно не совсем понятно :) но работает только так. В бридже wlan и ether wlan состоит с wds1,2,3,4 а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп! Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?бридж один.Согласен выглядит оно не совсем понятно :) но работает только так. В бридже wlan и ether wlan состоит с wds1,2,3,4 а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп! Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no абсолютно не работает. :) пробовал и в настройках wlan интерфейса и в registration table снимать эту галочку - полюбому роутит между wifi юзерами! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wireless_man Опубликовано 16 июля, 2009 (изменено) сорри провтыкал что вдс ... сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ... Изменено 16 июля, 2009 пользователем wireless_man Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 2dIMbI4: Мой вариант у Вас заработал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 16 июля, 2009 пока не появились клиенты .... у всех чтото точки выключены. вечером увидим. но я сомневаюсь в работоспособности вашего варианта.. вечером применю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimich99 Опубликовано 16 июля, 2009 (изменено) сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...малость провтыкалу меня бридж это wds1,2,3,4 и wlan Говорите что wlan можно выкинуть с бриджа? а между ether и беспроводкой идет роутинг а не бриджинг. и мое правило фильтрации работает хорошо.Клиент клиента не видить ни на IP ни на ARP уровне. Изменено 16 июля, 2009 пользователем Dimich99 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SoUgly Опубликовано 16 июля, 2009 Вот ключевая фраза: "а между ether и беспроводкой идет роутинг а не бриджинг." У меня-то бриджинг. Поэтому приходится дропать траф между вдс-ами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X0t@bych Опубликовано 16 июля, 2009 Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 ноября, 2009 А если клиенты в вдс, а отправлять их надо на Ether1 - который тоже в бридж включен как быть? Ether1, Wlan1, Wds1...Wds10 в бридже. Надо запретить траф между клиентами, однако разрешить им доступ на Ether1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no. +1, ВДС на клиентах это очень редкий случай, и то в варианте какогото п2п линка, обычного стейшн хватает и самое головное что так правильно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 28 ноября, 2009 кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке. ниплохо вы розкачали МТ+всенапрямленку!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 ноября, 2009 Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться. что-то не то вы говорите. классика: ар бридж на МТ - стейшн на УБНТ - пппое пролетает гуд. вот если ваша ар бридж получате инет от клиента то тогда нужен п2п, что есть вдс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 ноября, 2009 А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fastvd Опубликовано 28 ноября, 2009 А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись. ну подменит точка всех 10 юзеров на свой мак, немного нагрузки больше, но работать будет...клиент-база) хотя п2п конечно лучше) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 ноября, 2009 Не будет это работать - клиенты отваливаються через пару минут отсидки. Да и тем более на сервере очень удобно знать мак адрес клиента. Задал вопрос этот в техподдержку так и не ответили. Сам потыкал фильтры разные - что-то нифига не получаеться выборочно зарезать. Ведь трафик через бридж как я понял не ходит, а идет напрямую с wds1..wds10 на ether1 - потому что в бридже никакой трафик не показываеться. Конечно можно попробовать создать 2 фильтра. В одном дропать все что не идет на ether1, в другом дропать все что пришло не с ether1 - только вот пробовать на рабочих точках как-то не охота, попробую завтра тестовый стенд собрать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...