Ahoj,
Jak nejelegantněji a nejčistěji zablokovat přístup z Guest VLANy na všechny brány na MT? Mám na portech VLAN1 a VLAN2, a v jednom modem (DHCP klient). Každá VLAN má svůj DHCP server na MT.
v NAT mám aktivní masquerade (jinak nic) a do firewall jsem dal : forfard z IN VLAN1 na !ethernet1 (modem) DROP , funguje tak, že když komunikuji kamkoliv jinam, tak to zahodí, u druhé VLAN je pravidlo totožné.
Ovšem v tomto stavu mě pustí na bránu, tzn MT. Dal jsem tedy pravidlo, aby veškerou komunikaci na bránu v daném rozsahu, např 192.168.1.1 zahodil. Což funguje, ale dostane zase na bránu druhé sítě (2.1) a pak přidělenou od modemu, třeba 172.55, atd, v podstatě na všechny vstupy do MT.
Jde toto nějak globálně ošetřit, aby uživatel z VLAN1 se dostal jen na modem a ven do netu a nikam jinam a zase ve VLAN2 třeba všude?
Děkuji
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přístupy, DHCP vs. porty + trunk
Přístupy, DHCP vs. porty + trunk
Naposledy upravil(a) xmagicx dne 02 Feb 2018 14:30, celkem upraveno 1 x.
0 x
Ano, na vlastní router to je obdobné pravidlo, jen v chainu Input namísto Forward.
Mirek
Mirek
0 x
to vím, však ho tak mám, otázka zní, jestli je nutné vypisovat všechny / IP portů na MT, nebo je na to nějaké obecnější pravidlo. Protože v tomto případě, když router dostane ze sítě jinou IP na jeho "WAN" rozhraní, tak už pravidlo blokace nebude aktivní.
0 x
A že ses nezmínil o Input pravidle. To se pak těžko účinně radí, když dáš jen polovinu informací.
V tomto případě bych vyplňoval jen Source rozhraní.
V tomto případě bych vyplňoval jen Source rozhraní.
0 x
ah, já jsem vůl 
hledal jsem zbytečné složitosti, a mezitím stačí jen Chain : input, In. int : VLANx a Action Drop,
díky za nakopnutí
----
prozradí mi někdo ještě přesnou funkci "maškarády"? Děkuji
hledal jsem zbytečné složitosti, a mezitím stačí jen Chain : input, In. int : VLANx a Action Drop,
díky za nakopnutí
----
prozradí mi někdo ještě přesnou funkci "maškarády"? Děkuji
0 x
ještě bych měl jeden dotaz.
Chci port 3 jako VLAN2
port 4 jako VLAN5
a port 5 TRUNK na switch , kde bude VLAN 2,5,
Na MT chci provozovat DHCP server aby přiděloval IP v rámci VLANy, tzn 2 sítě. V portech přímo na MT mi chodí, ale nevím, jak docílit toho aby komunikace putovala po portu 5 do switche, kde budou další VLANy a tam v rámci portů byly přidělovány IP z MT.
Díky
Chci port 3 jako VLAN2
port 4 jako VLAN5
a port 5 TRUNK na switch , kde bude VLAN 2,5,
Na MT chci provozovat DHCP server aby přiděloval IP v rámci VLANy, tzn 2 sítě. V portech přímo na MT mi chodí, ale nevím, jak docílit toho aby komunikace putovala po portu 5 do switche, kde budou další VLANy a tam v rámci portů byly přidělovány IP z MT.
Díky
0 x
udělal jsem to následovně.
Založil jsem si 2x Bridge BV2 a BV5
BV2 přidělil port 3
BV5 port 4
pak jsem založil VLAN2(ID2) na BV2 a VLAN5(ID5) na BV5
následně jsem udělal VLAN2_sw (ID2) na port5 a stejně tak VLAN5_sw (ID5) na tentýž port
následně jsem v Brigde / portech přidal VLAN2_sw přiřadil k BV2 a VLAN5_sw k BV5
DHCP server je založen na rozsah 192.168.1.xxx pro BV2 , a 192.168.2.xxx pro BV5
bude mi to takto fungovat, aby následně v rámci switche (mng) připojeném na portu 5 fungovalo DHCP v rámci nadefinovaných VLAN vs. portů.
Děkuji
Založil jsem si 2x Bridge BV2 a BV5
BV2 přidělil port 3
BV5 port 4
pak jsem založil VLAN2(ID2) na BV2 a VLAN5(ID5) na BV5
následně jsem udělal VLAN2_sw (ID2) na port5 a stejně tak VLAN5_sw (ID5) na tentýž port
následně jsem v Brigde / portech přidal VLAN2_sw přiřadil k BV2 a VLAN5_sw k BV5
DHCP server je založen na rozsah 192.168.1.xxx pro BV2 , a 192.168.2.xxx pro BV5
bude mi to takto fungovat, aby následně v rámci switche (mng) připojeném na portu 5 fungovalo DHCP v rámci nadefinovaných VLAN vs. portů.
Děkuji
0 x