Aomi Posted December 13, 2013 Posted December 13, 2013 Всем привет, поиск юзал, но так и не понял ничего :) Есть NAS Микротик, к нему коннектятся абоненты по PPPoE, биллинг по радиусу назначает им серые IP 10.10.11.1-10.10.20.254, и вот все абоненты друг друга и видят и пингуют. Не могу понять что не так :( Посоветуйте, куда смотреть, пожалуйста. Вставить ник Quote
Saab95 Posted December 13, 2013 Posted December 13, 2013 Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop. Если у вас есть какой-то внутренний сервер, так же из этой подсети, то сперва добавьте разрешающее правило на него. Но лучше его из 10.10 вывести, тогда и лишнее правило не потребуется. Вставить ник Quote
Aomi Posted December 14, 2013 Author Posted December 14, 2013 Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят? Вставить ник Quote
Saab95 Posted December 14, 2013 Posted December 14, 2013 Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят? Нет не сильно. Вставить ник Quote
alibek Posted December 14, 2013 Posted December 14, 2013 Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop. Неправильный совет. От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит. Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе. Вставить ник Quote
Aomi Posted December 14, 2013 Author Posted December 14, 2013 (edited) Изоляцию портов включить не получится - доступ gpon, pppoe на onu поднимается Edited December 14, 2013 by Aomi Вставить ник Quote
alibek Posted December 14, 2013 Posted December 14, 2013 А какая выгода использовать PPPoE в xPON? Да еще с учетом того, что PPPoE-соединение устанавливает ONU, а не абонент. Кроме того, мне кажется что изоляция портов есть на любом xPON, во всяком случае у Eltex и SNR такое есть. Вставить ник Quote
Aomi Posted December 14, 2013 Author Posted December 14, 2013 (edited) А как на Элтексе включить? PPPoE удобно резервировать Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS. Edited December 14, 2013 by Aomi Вставить ник Quote
Saab95 Posted December 14, 2013 Posted December 14, 2013 А как на Элтексе включить? PPPoE удобно резервировать Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS. Они по другому и не могут видеть. Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop. Неправильный совет. От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит. Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе. Это заблокирует доступ абонентов к друг другу через туннели. Обычно на L2 уровне просто блокируют все кроме pppoe трафика. Вставить ник Quote
Aomi Posted December 15, 2013 Author Posted December 15, 2013 Спасибо. Создал правило, все работает-запрещает :) А вот как разрешить шлюз который 10.10.10.1 - непонял. Создал правило, где action=access, src.address=10.10.0.0/16, dst.address=10.10.10.1, поставил его перед запрещающим, но не пашет :( Вставить ник Quote
Saab95 Posted December 15, 2013 Posted December 15, 2013 Добавьте в правила запрета dst.list=!allow в него поместите те адреса, на которые должен быть доступ, только и всего=) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.