classic.ISPforum.cz

zdravim,
mam sit ve ktere mam nekolik Wireles APcek a jinak mam metalicky vedeni, potrebuju aby klienti, kteri se k siti pripoji meli pristup na internet ale nemeli pristup do vnitrni site... a potom potrebuju nektere kliente aby byly ve vnitrni siti a meli moznost komunikace se serverem atd...

řešil bych to asi pomocí MAC...
a jeste bych to potreboval zabezpecit proti tomu aby si klienti nemohli jenom zmenit IP a byly by rovnou ve vnitrni siti....

můžete mi prosím poradit jak na to?

děkuji Ruda

Rozdělit LAN a WLAN na víc sítí,do firewallu přidat pravidla :

Chain forward dst adress:YYY.YYY.YYY.0/24 src MAC adress: 00:00:00:00:00:00 action:accept
Chain forward src adress:XXX.XXX.XXX.0/24 dst adress:YYY.YYY.YYY.0/24 action:drop
Tím se zablokuje forward mezi sítěmi Y a X,krom MAC které jsou nad tímto pravidlem acceptovány.Na síti X jsou PC,na Y servery.To První pravidlo,musíš aplikovat na všechny MAC,které chceš aby měli přístup na server,drop dej vždy pod ty akceptovaný.

Pro zablokování forwardu WLAN-LAN:
Chain forward src adress ZZZ.ZZZ.ZZZ.0/24 dst adress YYY.YYY.YYY.0/24 action drop
Chain forward src adress ZZZ.ZZZ.ZZZ.0/24 dst adress XXX.XXX.XXX.0/24 action drop
Tímhle blokneš forward pro tyhle síťě z Wlanu do lan,Z je síť na WLANU.

Mělo by to být Vše snad