classic.ISPforum.cz

Kdo mi prosím poradí jedná se oto. Potřebuju zablokovat vzájemnou kominkaci mezi klienty, ne jenom v Client Isolation v nastavení AP. Mám více AP a potřebuji ají ti co jsou potrase nemohly jinam než na net a ne do klientu. Vše je Ubiquiti zařízení..Dík

Switche máš taky UBNT? Ty nemám moc zmáknuté, tak s tím neporadím, nevím. Napadá mě třeba co klient to tunel, někdo to tak má. Pak o tom, zda na sebe uvidí rozhoduje nastavení na bráně, kde máš předp. mikrotik, tam si uděláš filtry.

hol píše:Switche máš taky UBNT? Ty nemám moc zmáknuté, tak s tím neporadím, nevím. Napadá mě třeba co klient to tunel, někdo to tak má. Pak o tom, zda na sebe uvidí rozhoduje nastavení na bráně, kde máš předp. mikrotik, tam si uděláš filtry.

No hlavní je RB1100HX2 mikrotik ale to je ok..Zněj jdou 3 AP ubiquiti a komunikaci mezi nimi blokuje mikrotik ale jde ototo to jedno AP to je bez daších větví to je ok. TO jedno ma dva klienty a za jednim je další AP kde jsou další klienti at nedochází ktomu ikdyž se klienti na jednom AP blokují tak mohou mít přístup na předchozí AP ke klientům a opačně a zároven jim uchovat přístup k netu. Jak toto blokovat v ubiquiti?

Umístit PPPoE agregátor před hraničním routerem.

zdenek.svarc píše:Umístit PPPoE agregátor před hraničním routerem.

Vsak to je jasne ale jde oto aby i tak nemeli ty klineti v lokalni siti k sobe pristup jde o virusy trojany atd ktere v siti hledaji sousedni IP a pc a dela to bordel jak utoky na DNS tak vytezovani site pozadavky ktere pak zahlti celou pripojku atd

PTPStudio píše:

zdenek.svarc píše:Umístit PPPoE agregátor před hraničním routerem.

Vsak to je jasne ale jde oto aby i tak nemeli ty klineti v lokalni siti k sobe pristup jde o virusy trojany atd ktere v siti hledaji sousedni IP a pc a dela to bordel jak utoky na DNS tak vytezovani site pozadavky ktere pak zahlti celou pripojku atd

Síť pod PPPoE tunelem je operátorská síť, která je chráněná, protože k ní klient nemá přístup ani po L3, ani po L2, vyjma nejbližšího přístupového segmentu zahrnující CPE.

Co třeba Firewall filter přímo na cpe? Dále nastaveni omezení rychlosti pro odesílání cpe - > AP atd.

PTPStudio píše:

zdenek.svarc píše:Umístit PPPoE agregátor před hraničním routerem.

Vsak to je jasne ale jde oto aby i tak nemeli ty klineti v lokalni siti k sobe pristup jde o virusy trojany atd ktere v siti hledaji sousedni IP a pc a dela to bordel jak utoky na DNS tak vytezovani site pozadavky ktere pak zahlti celou pripojku atd

Je to o návrhu celé sítě. Každý klient musí mít CPE ve tvé správě na kterém zajistíš první úroveň bezpečnosti (klienti připojení sami něčím se svými LAN připojenými přímo do operátorské sítě, to je zhovadilost). Dále oddělení zajistíš ve zbytku sítě pomocí firewallových pravidlech na routerech nebo nějakých ACL na switchích/filtrech na bridge, případně pomocí PPPoE anebo jiného tunelu. Variant je mnoho, každá má své pro a proti.

PTPStudio píše:Kdo mi prosím poradí jedná se oto. Potřebuju zablokovat vzájemnou kominkaci mezi klienty, ne jenom v Client Isolation v nastavení AP. Mám více AP a potřebuji ají ti co jsou potrase nemohly jinam než na net a ne do klientu. Vše je Ubiquiti zařízení..Dík

hmm... a co na to řeknou takový věci jako třeba xboxy a playstationy? Jak se na sebe dostanou třeba veřejné IP adresy případně pokud máš IPv6ky tak by si neměl blokovat komunikaci mezi nimi atd...

Asi by tu komunikaci bylo potřeba dostat do bodu, kde lidem řežeš rychlosti (pokud na CPE tak není třeba mnoho řešit, pokud na GW tak až na GW) a i ke "své vnitřní síti" přistupovat jako k tomu "zlému nebezpečnému internetu".