Ограничение доступа для гостевой сети через /interface bridge filter или через /ip firewall filter

Nemiroff_84 · 14 ноя 2016

Добрый день!
Я знаю два варианта создания гостевой беспроводной сети:

Объединить интерфейсы в мост и настроить фильтрацию через: /interface bridge filter

Настроить фильтрацию через /ip firewall filter

Подскажите, пожалуйста, как лучше делать и почему?

Илья Князев · 15 ноя 2016

Еще есть через route rules
Код:
/ip route rule add src-address=1.1.1.0/24 dst-address=2.2.2.0/24  action=unreachable
Где 1.1.1.0/24 гостевая сеть и 2.2.2.0/24 приватная.
Так же можно создать 0.0.0.0/0 с маркировкой и в route rule прописать lookup-only-in-table

А еще можно через VRF замутить с утечкой дефолт гейтвея через @main )))

Но это так, к слову.
Гостевую логично выкидывать в отдельную подсеть. Фильтровать через firewall или через route rule от задачи.
Первое гибче, второе чуть легче по нагрузке на CPU

Nemiroff_84 · 15 ноя 2016

То, что в отдельную подсеть это само собой разумеющееся.
А Вы сами как чаще настраиваете?

Илья Князев · 15 ноя 2016

Я чаще файрвол использую.
Правило типа
chain=forward in-interface=guest-wifi out-interface=!wan action=drop

Nemiroff_84 · 15 ноя 2016

Спасибо. Я так же делаю. Интересно было, посмотреть на другую точку зрения.

Вход

Ограничение доступа для гостевой сети через /interface bridge filter или через /ip firewall filter

Nemiroff_84 Участник

Илья Князев Администратор Команда форума

Nemiroff_84 Участник

Илья Князев Администратор Команда форума

Nemiroff_84 Участник

Вход

Ограничение доступа для гостевой сети через /interface bridge filter или через /ip firewall filter

Nemiroff_84 Участник

Илья Князев Администратор Команда форума

Nemiroff_84 Участник

Илья Князев Администратор Команда форума

Nemiroff_84 Участник

Быстрый поиск