Изоляция клиентов внутри одной сети.

[userok001]

Добрый день.

Имеется в наличии zyxel keenetic старый, прошивка v1. Первое и второе планирую обновить.

Использую для дома, хочу максимально строго настроить запрет соединений между клиентами в любой сети.(WI-FI, в идеале ethernet,но тут как я понял ,

это решается созданием влана на каждый порт, wi-fi устройств у меня много, ethrnet мало). 

То есть я хочу открыть пару портов для раздачи медиа с ethernet устройства(пока что) и запретить все остальные локальные соединения.

Есть ли такая возможность на 1 или 2 прошивке? Или мне требуется совсем другое устройство?

 

 

Спасибо.

 

 

Edited November 7, 2016 by userok001

[IgaX]

4 часа назад, userok001 сказал:

максимально строго настроить запрет соединений между клиентами в любой сети.(WI-FI

за AP Isolation нужно голосовать в ветке развития

[r13]

6 часов назад, IgaX сказал:

за AP Isolation нужно голосовать в ветке развития

Это не AP Isolation раз в задаче "разрешить пару портов" стоит. 

[IgaX]

1 час назад, r13 сказал:

Это не AP Isolation раз в задаче "разрешить пару портов" стоит. 

если пару портов на ethernet-девайсах, то все еще AP Isolation.

[r13]

1 минуту назад, IgaX сказал:

если пару портов на ethernet-девайсах, то все еще AP Isolation.

Ну этот момент в задаче не раскрыт, так что исходим из широкого трактования постановки задачи

[IgaX]

2 минуты назад, r13 сказал:

Ну этот момент в задаче не раскрыт, так что исходим из широкого трактования постановки задачи

[userok001]

AP Isolation. - Access Point isolation ?

Входящие подключения у меня слушает только ethernet устройство. Раздает медиа.

Для текущих задач + vlan на каждый ethernet порт - этого было бы достаточно.

 

[IgaX]

14 минуты назад, userok001 сказал:

AP Isolation. - Access Point isolation ?

При прочих равных.

14 минуты назад, userok001 сказал:

Для текущих задач

В общем, в чем смысл: тут все, так или иначе, упирается в сборку бриджей. Если для воздуха хотите через гостевую пустить, то она уже на своем отдельном "невидимом" бридже висит, который, по идее, наследует настройки WifiMaster0/AccessPoint1, где security-level protected, что значит, что этот бридж будет видеть только public. Поэтому даже если Вы убедите разработчиков дать Вам возможность включать NoForwarding в настройках драйвера (а это еще и для всего конкретного радио, а не просто ssid), то все равно придется столкнуться с тем, что проводное устройство на раздаче должно будет находиться в public интерфейсе (что настраивается соответствующей командой), исходя из этого уже планируйте архитектуру проводных подключений. Ну и плюс могут быть проблемы с видимостью DLNA (если планируется его для раздачи) если в разных диапазонах будут клиенты и "сервер".

[userok001]

49 минут назад, IgaX сказал:

При прочих равных.

В общем, в чем смысл: тут все, так или иначе, упирается в сборку бриджей. Если для воздуха хотите через гостевую пустить, то она уже на своем отдельном "невидимом" бридже висит, который, по идее, наследует настройки WifiMaster0/AccessPoint1, где security-level protected, 

Protected  = private + isolate =  private + no isolate + access list ? Если да, то protected это просто безопасная плюшка , у которой естб альтернативы.

[IgaX]

5 минут назад, userok001 сказал:

Protected  = private + isolate =  private + no isolate + access list ? Если да, то protected это просто безопасная плюшка , у которой естб альтернативы.

Не совсем, не смотря на возможности ACL. Посмотрите на разницу в мануале в секции: 3.22.88 interface security-level.

Скрытый текст

- Само устройство принимает сетевые подключения (разрешает управление) только с интерфейсов private.

- protected интерфейсы не имеют доступа к устройству и другим private/protected подсетям, но они имеют доступ к public интерфейсам и интернету. Устройство обеспечивает защищенным сегментам только доступ к службам DHCP и DNS.

 

[userok001]

46 минут назад, IgaX сказал:

Не совсем, не смотря на возможности ACL. Посмотрите на разницу в мануале в секции: 3.22.88 interface security-level.

  Показать содержимое

- Само устройство принимает сетевые подключения (разрешает управление) только с интерфейсов private.

- protected интерфейсы не имеют доступа к устройству и другим private/protected подсетям, но они имеют доступ к public интерфейсам и интернету. Устройство обеспечивает защищенным сегментам только доступ к службам DHCP и DNS.

 

Вот так правильно ?

1.Protected  =  private + no isolate + access list 

2.Private + isolate =  private + no isolate + access list 

Если да, то protected можно рассматривать как предопределенные правила,  которые будут иметь выше или ниже приоритет ,чем ручные ACL.

То есть ничего нового protected не добавит.

Кстати всегда ли ниже?

 

>> Не совсем, не смотря на возможности ACL

Это не понял.

 

Edited November 7, 2016 by userok001

[IgaX]

13 минуты назад, userok001 сказал:

>> Не совсем, не смотря на возможности ACL

Это не понял.

правила ACL имеют более высокий приоритет чем уровни безопасности, поэтому если очень хочется, то можно (если есть смысл).

16 минут назад, userok001 сказал:

То есть ничего нового protected не добавит

по мне (помимо выделения) - это ограничение к службам, м.б. можно обойти (не пробовал).