Другие правила firewall для резервного WAN USB-модема 4G.

[YTMi]

Здравствуйте. Имеется роутер Omni KN-1410, к нему подключено два WAN, городской проводной провайдер и USB модем с ограниченым пакетом ГБ, но бессрочным по времени (пока не потратишь). Хочу реализовать такую схему, чтобы когда интернет начнет работать через USB-модем, в firewall в разделе Домашняя сеть стояли отдельные правила для некоторых хостов в локальной сети, запрещающие доступ в интернет кроме до определенных ip-адресов и/или портов, например, разрешить только RDP и т.п. Это нужно для того, чтобы пакет интернета не съедался слишком быстро каким-нибудь обновлением windows, электронной почтой, веб-серфингом и прочей деятельностью людей, но важное оборудование или службы всегда имели доступ в интернет. Подскажите, пожалуйста, можно ли для разных исходящих интерфейсов WAN настроить разные запрещающие правила firewall-а? И как это сделать. Читал мануал по CLI, но не разобрался.

[Илья Картавенко]

11 минуту назад, YTMi сказал:

Здравствуйте. Имеется роутер Omni KN-1410, к нему подключено два WAN, городской проводной провайдер и USB модем с ограниченым пакетом ГБ, но бессрочным по времени (пока не потратишь). Хочу реализовать такую схему, чтобы когда интернет начнет работать через USB-модем, в firewall в разделе Домашняя сеть стояли отдельные правила для некоторых хостов в локальной сети, запрещающие доступ в интернет кроме до определенных ip-адресов и/или портов, например, разрешить только RDP и т.п. Это нужно для того, чтобы пакет интернета не съедался слишком быстро каким-нибудь обновлением windows, электронной почтой, веб-серфингом и прочей деятельностью людей, но важное оборудование или службы всегда имели доступ в интернет. Подскажите, пожалуйста, можно ли для разных исходящих интерфейсов WAN настроить разные запрещающие правила firewall-а? И как это сделать. Читал мануал по CLI, но не разобрался.

А в межсетевом экране вы видите вкладку для модема? 

[YTMi]

Да, Huawei Mobile Broadband

[YTMi]

Но, насколько я помню запрещающие правила для хостов локальной сети работают только во вкладке Домашняя сеть

[Le ecureuil]

Сделать две разные политики, в одной только проводной интернет для всех, а в системной - критически важные хосты, в ней же и USB-модем.

[YTMi]

2 часа назад, Le ecureuil сказал:

Сделать две разные политики, в одной только проводной интернет для всех, а в системной - критически важные хосты, в ней же и USB-модем.

Получается, что критически важные хосты всегда будут работать через USB модем, а неважные хосты не смогут даже RDP соединение установить через USB-модем в случае сбоя проводного провайдера. Если я правильно понял, такой способ не подходит, к сожалению.

[YTMi]

Вроде получается. В файле startup-config в строке ip access-group _WEBADMIN_CdcEthernet0 in, in поменял на out. Еще потестирую