classic.ISPforum.cz

Zdravim, chcel by som sa opytat na riesenie:
Mam na mikrotiku nastavenie viacere LAN (LAN, Hotspot) a na kazdu lan mam osobitny DHCP a iny subnet. Potrobeval by som tieto siete
nejakym sposobom oddelit. Skusal som cez FW nastavovat pravidla, ale akosi to furt medzi sebou pinga
dakujem

filter, chain=forward, outiface a iniface !wan, action drop

hapi píše:filter, chain=forward, outiface a iniface !wan, action drop

To som skusal a aj to pingalo. dal som filter, chain=input, ininterface=lan(hotspot) a vyzera ze to robi co ma.

ty seš pako. Ty je pinkáš z toho routeru? Tak to je jasný, na router se nevztahuje forward a na klienty se nevztahuje input. Měl by jsi se podívat na to jak funguje ip tables.

vdaka za vrucne oslovenie a aj za objastnenie. Pingam zatial iba ako klient router, kedze to mam len na stole v testovacej prevadzke s jednym PC.

traco píše:Zdravim, chcel by som sa opytat na riesenie:
Mam na mikrotiku nastavenie viacere LAN (LAN, Hotspot) a na kazdu lan mam osobitny DHCP a iny subnet. Potrobeval by som tieto siete
nejakym sposobom oddelit. Skusal som cez FW nastavovat pravidla, ale akosi to furt medzi sebou pinga
dakujem

To nedává smysl. Pokud nemám klienty oddělené na úrovni L2, tak k čemu je oddělovat v rámci L3? To je jako postavit kolem domu vysoký plot a nechat otevřené vrata. Použij switch, který umí private VLAN. A ještě se zamysli, jestli taková konfigurace (ve smyslu vícenásobného DHCP) vůbec dává smysl, protože ať už tím chceš dosáhnout čehokoliv, půjde to i efektivněji.

ale ale. já ho vysloveně chápu až na tu blokaci. Když mám private vlan tak jak rozeznám kdo je na kterym portu? On tam mám určo nějaký víceportový RBčko takže to chápu tuplem. Každej svůj subnet a zdar. Dej drop mezi iface na forward který to nemá jít a hotovo.

Neber to zle ale tady na jihu slovo pako znamená nejslabší možnou... ani ne nadávku spíš označení někoho kdo v něčem hledá jednoduchost

A jak rozeznám, kdo je na kterém portu, když private vlan nepoužiju? Nijak, pokud nemám switch s injektováním circuit-id do dhcp požadavku. Jenže takhle otázka nestála, a ani stát nemusí, mluvil o izolaci klientů, ne o jejich autentizaci. Akorát trošku nešťastně neuvedl, zda-li má na mysli izolaci na úrovni síťových rozhraní svého routeru nebo v rámci připojeného switche, takže každý mluvíme o něčem jiném.

hapi píše:
Neber to zle ale tady na jihu slovo pako znamená nejslabší možnou... ani ne nadávku spíš označení někoho kdo v něčem hledá jednoduchost

Ja to v zlom neberiem, mna to len pobavilo a som vdacny za rady