classic.ISPforum.cz

Zdravím Vás a prosím o radu.
Internet od providera na 192.168.1.1 a routuje
Ip s DHCP 1.100 1.200
Přijem od providera je pichlý do switche.

Do switche připojene nove zařizení Nanostatoin M5 jako acceess point - bridge
Na něj je připojeno Nanostatoin M5 jako station - bridge a lan pichla do switch.
Potřebují, aby všem, co jsou pichli do toho switche nejel internet, tedy zakazan 80 port.
Poradite?
Předem děkují

Předpokládám, že se jedná o nějaký "tupý" switch. Tam to nastavit nepůjde.

Bude potřeba to nastavit na routeru (aby dotazy z ethx na port 80/443 byly blokovány). Ideálně tam udělat nový subnet (např. 192.168.2.0/24) a nastavit pravidla na daný subnet.

Záleží na důvodech a použitém HW, podle toho se dá vybrat vhodně řešení - nebylo napsáno nic, takže konkrétní rady nelze napsat.

Jsem je kupovali v i4wifi.
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti

Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních

Tak proč píšeš sem a ne Vyhnalíkovi, který ti tu tvojí hovadinu odkýval?

Tímto netvrdím, že to nejde ale je to prostě celé blbě vymyšlené. Internet se nevypíná blokací 80/443 někde na bezdrátovém spoji, část sítě s blokovaným internetem by měla být ideálně oddělena např. do VLANy příp. pokud je zajištěno že si uživatelé nebudou sami měnit IP adresy (nemají práva, ARP inspection na switchi apod.) tak se pravidla nastaví na routeru/firewallu na jednotlivé IP.

Le_Ze píše:Jsem je kupovali v i4wifi.
Než jsm je koupil, tak jsem jim psal.
Michal Vyhnalík produktový manažer Ubiquiti

Tvrdíl mi, že i když jsou nanoše v bridge, funguje firewall a to co potřebují, se da nastavít přimo v ních

Obchoďáci odkývají cokoliv, jen aby zákazník nakoupil (bývalý šéf se divil, když jsem mu řekl jak moc mu 17Ghz Alcomy jedou mimo limity - montováno přímo Alcomou, myslel si, že je vše "košér")

Když si to vymyslel, tak ať ti pošle konkrétní návod. Ale stačí použít jiný port/VPN a uživatel je hned na internetu. Stále nevíme účel sítě a jejího omezení, takže se stále nedá poradit konkrétně.

Poslal mi v e-mailu i odkaz na ubiquiti forum, kde to probirali a psali tam že to funguje.
Už ho 2 dny hledam.

A v obou nanošicch - network - Configuration Mode jde zapnout advanced mod i když jsou jako bridge.

Firewall v AirOS je sice dost zjednodušený a otravně konfigurovatelný, ale funguje jak v router módu, tak v bridge.

A neporadíš jak na to?

Proč si to prostě nevyzkoušíš? Vždyť víš, co chceš ... víš interface, víš protokol, víš porty. A slůvko DROP a ACCEPT si přelož.
Jediné, co je matoucí je, že tam není napsaný co znamená interface. Znamená to input-interface.
A nutno myslet na to, že firewall je shodný pro INPUT i FORWARD. Čili je potřeba zkontrolovat, na kterém portu běží samotné GUI toho UBNT (a rovnou zapnout https) a pro jistotu přehodit jinam, aby jsi to nezablokoval. Nevím, jestli to je v AirOS ošetřený.

Jsem snad vyzkoušel všechno a internet furt jede.
http://img24.cz/images/57263204932356463809.png

Gratuluju prave si zablokoval traffic mezi source subnet 192.168.1.0/24 source port 80 a destination subnet 192.168.1.0/24 destination port 80

Děkují za info, to se tu fakt nenajde něko, kdo by pomohl?

Tak treba destination by mel byt any ne?

Filiph1 píše:Tak treba destination by mel byt any ne?

Už nejede
Ješte jeden dotaz.
Jde nastavít rozsah blokovaných portu, třeba 80-443?
Jsem hledal a všude nastavují jen jeden.
https://community.ubnt.com/t5/airOS-Sof ... d-p/476397

Zkus dvojtečku:
80-443 = 80:443