Mam na mikrotiku nastavenie viacere LAN (LAN, Hotspot) a na kazdu lan mam osobitny DHCP a iny subnet. Potrobeval by som tieto siete
nejakym sposobom oddelit. Skusal som cez FW nastavovat pravidla, ale akosi to furt medzi sebou pinga
dakujem
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Izolovanie klientov LAN
Izolovanie klientov LAN
Zdravim, chcel by som sa opytat na riesenie:
Mam na mikrotiku nastavenie viacere LAN (LAN, Hotspot) a na kazdu lan mam osobitny DHCP a iny subnet. Potrobeval by som tieto siete
nejakym sposobom oddelit. Skusal som cez FW nastavovat pravidla, ale akosi to furt medzi sebou pinga
dakujem
Mam na mikrotiku nastavenie viacere LAN (LAN, Hotspot) a na kazdu lan mam osobitny DHCP a iny subnet. Potrobeval by som tieto siete
nejakym sposobom oddelit. Skusal som cez FW nastavovat pravidla, ale akosi to furt medzi sebou pinga
dakujem
0 x
hapi píše:filter, chain=forward, outiface a iniface !wan, action drop
To som skusal a aj to pingalo. dal som filter, chain=input, ininterface=lan(hotspot) a vyzera ze to robi co ma.
0 x
ty seš pako. Ty je pinkáš z toho routeru? Tak to je jasný, na router se nevztahuje forward a na klienty se nevztahuje input. Měl by jsi se podívat na to jak funguje ip tables.
0 x
vdaka za vrucne oslovenie a aj za objastnenie. Pingam zatial iba ako klient router, kedze to mam len na stole v testovacej prevadzke s jednym PC.
a aj za objastnenie. Pingam zatial iba ako klient router, kedze to mam len na stole v testovacej prevadzke s jednym PC.
0 x
-
zdenek.svarc
- Administrator
- Příspěvky: 1635
- Registrován: 20 years ago
- antispam: Ano
traco píše:Zdravim, chcel by som sa opytat na riesenie:
Mam na mikrotiku nastavenie viacere LAN (LAN, Hotspot) a na kazdu lan mam osobitny DHCP a iny subnet. Potrobeval by som tieto siete
nejakym sposobom oddelit. Skusal som cez FW nastavovat pravidla, ale akosi to furt medzi sebou pinga
dakujem
To nedává smysl. Pokud nemám klienty oddělené na úrovni L2, tak k čemu je oddělovat v rámci L3? To je jako postavit kolem domu vysoký plot a nechat otevřené vrata. Použij switch, který umí private VLAN. A ještě se zamysli, jestli taková konfigurace (ve smyslu vícenásobného DHCP) vůbec dává smysl, protože ať už tím chceš dosáhnout čehokoliv, půjde to i efektivněji.
0 x
ale ale. já ho vysloveně chápu až na tu blokaci. Když mám private vlan tak jak rozeznám kdo je na kterym portu? On tam mám určo nějaký víceportový RBčko takže to chápu tuplem. Každej svůj subnet a zdar. Dej drop mezi iface na forward který to nemá jít a hotovo.
Neber to zle ale tady na jihu slovo pako znamená nejslabší možnou... ani ne nadávku spíš označení někoho kdo v něčem hledá jednoduchost
Neber to zle ale tady na jihu slovo pako znamená nejslabší možnou... ani ne nadávku spíš označení někoho kdo v něčem hledá jednoduchost
0 x
-
zdenek.svarc
- Administrator
- Příspěvky: 1635
- Registrován: 20 years ago
- antispam: Ano
A jak rozeznám, kdo je na kterém portu, když private vlan nepoužiju? Nijak, pokud nemám switch s injektováním circuit-id do dhcp požadavku. Jenže takhle otázka nestála, a ani stát nemusí, mluvil o izolaci klientů, ne o jejich autentizaci. Akorát trošku nešťastně neuvedl, zda-li má na mysli izolaci na úrovni síťových rozhraní svého routeru nebo v rámci připojeného switche, takže každý mluvíme o něčem jiném.
0 x
hapi píše:
Neber to zle ale tady na jihu slovo pako znamená nejslabší možnou... ani ne nadávku spíš označení někoho kdo v něčem hledá jednoduchost
Ja to v zlom neberiem, mna to len pobavilo a som vdacny za rady
0 x