Jump to content
  • 0

Фильтрация гостевая/домашняя сеть по МАС


Evgen Storm

Question

Проблема заключается в том, что распихать беспроводные устройства по домашней/гостевой сетям не проблема. В Keenetic`e можно принудительно распихать их по сетям.

А вот с проводными устройствами - засада. Возможно назначение гнезда для гостевой сети, но на практике устройства подключаются через 25 коммутаторов, один провод идёт в офис, оттуда на 2 компьютера и ещё один в следующий офис, там и hot-spot может быть, и компьютер директора и ещё провод к кассе оттуда идёт.. И вот разобраться с этим зоопарком можно либо тянуть связку проводов по всем офисам, до каждого устройства, либо фильтрацией по мас-адресу. Допустим, в Интернет - всем, а вот к серверу 1С - только определённым ПК.

Поэтому и просьба сделать сортировку домашняя/гостевая сеть проводных устройств по МАС-адресу. Вариант другой подсети - это на каждом компьютере вручную прописывать надо.

Link to comment
Share on other sites

15 answers to this question

Recommended Posts

  • 0

Как вариант использовать VLANы, по другому не получится имхо, так как они по любом физически в одной широковещательной сети находятся. 

Edited by r13
Link to comment
Share on other sites

  • 0
1 час назад, Evgen Storm сказал:

Проблема заключается в том, что распихать беспроводные устройства по домашней/гостевой сетям не проблема. В Keenetic`e можно принудительно распихать их по сетям.

 И вот разобраться с этим зоопарком можно либо тянуть связку проводов по всем офисам, до каждого устройства, либо фильтрацией по мас-адресу. Допустим, в Интернет - всем, а вот к серверу 1С - только определённым ПК.

Так как устройство зарег. и естественно ПРИВЯЗАН К МАС IP адрес для данного клиента, то вы имеете возможно блокировать на странице "Правило межсетевого экрана" для "Домашней сети" выбрав адрес:порт как источника так и получателя, вытащив сервер из сегмента дом.сети.

Edited by vasek00
Link to comment
Share on other sites

  • 0
38 минут назад, r13 сказал:

Как вариант использовать VLANы

Так вот для этого и нужно делать фильтрацию либо по портам, либо по подсетям, либо по mac. По портам - никак, по подсетям - ручками, а по mac - нет возможности.

Link to comment
Share on other sites

  • 0
5 минут назад, Evgen Storm сказал:

Так вот для этого и нужно делать фильтрацию либо по портам, либо по подсетям, либо по mac. По портам - никак, по подсетям - ручками, а по mac - нет возможности.

Это не то

 

Без имени-2.jpg

Link to comment
Share on other sites

  • 0
7 минут назад, vasek00 сказал:

Так как устройство зарег. и естественно ПРИВЯЗАН К МАС IP адрес для данного клиента, то вы имеете возможно блокировать на странице "Правило межсетевого экрана" для "Домашней сети" выбрав адрес:порт как источника так и получателя.

Да, так можно. Но не наглядно.

Link to comment
Share on other sites

  • 0
4 минуты назад, Evgen Storm сказал:

Так вот для этого и нужно делать фильтрацию либо по портам, либо по подсетям, либо по mac. По портам - никак, по подсетям - ручками, а по mac - нет возможности.

деление на домашнюю/гостевую определяется физическим подключением к сети, поэтому даже присвоив гостевому клиенту домашний ip он от этого в другом сегменте не окажется, это просто разные категории. 

Link to comment
Share on other sites

  • 0
5 минут назад, vasek00 сказал:

Это не то

Для этого нужно знать IP устройства. Т.е. - прощай DHCP, иди прописывай ручками. Так это проще по разным подсетям разнести. Без всяких правил.

Link to comment
Share on other sites

  • 0
2 минуты назад, Evgen Storm сказал:

Для этого нужно знать IP устройства. Т.е. - прощай DHCP, иди прописывай ручками. Так это проще по разным подсетям разнести. Без всяких правил. 

При использовании сети 10-20 клиентов нет не чего страшного да и лучше это, второе прописываете только на роутере, на клиентах по барабану, так как все равно получит то что "доктор прописал" на роутере (на клиентах можете оставить получать автоматически)

Link to comment
Share on other sites

  • 0
В 23.10.2018 в 18:15, vasek00 сказал:

Так как устройство зарег. и естественно ПРИВЯЗАН К МАС IP адрес для данного клиента, то вы имеете возможно блокировать на странице "Правило межсетевого экрана" для "Домашней сети" выбрав адрес:порт как источника так и получателя, вытащив сервер из сегмента дом.сети.

надо пробовать, скорее всего трафик внутри сегмента в фильтр и не попадет

В 23.10.2018 в 18:30, Evgen Storm сказал:

Для этого нужно знать IP устройства. Т.е. - прощай DHCP, иди прописывай ручками. Так это проще по разным подсетям разнести. Без всяких правил.

почему же? как раз на dhcp и прописываете привязку ip к mac

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

  • 0

Да, работает!

Но, согласитесь, было бы гораздо удобнее создавать группы VLAN с определёнными правилами (не одним, а с целой кучей), и относить к ним компьютеры по mac, чем каждому прописывать IP и каждому создавать 2-3 правила?

Link to comment
Share on other sites

  • 0
58 минут назад, Evgen Storm сказал:

Да, работает!

Но, согласитесь, было бы гораздо удобнее создавать группы VLAN с определёнными правилами (не одним, а с целой кучей), и относить к ним компьютеры по mac, чем каждому прописывать IP и каждому создавать 2-3 правила?

Это уже не vlan ;) 

vlan это виртуализация линков и по фиг кто там конечный клиент.

Edited by r13
Link to comment
Share on other sites

  • 0

Ну, да. Я имел ввиду виртуальные группы с определёнными правилами, между которыми компьютеры можно было бы перемещать одним щелчком мышки. Просто уже к вечеру устал немного :)

Link to comment
Share on other sites

  • 0

Вот, смотрите, как получается:

Где-то, на каком-то участке сети, через несколько коммутаторов, находится hot-spot. И все устройства, подключенные к нему имеют статус "Проводная сеть".

1808808041_2.thumb.JPG.f58a30afe59ee60da385cadd61b44ac5.JPG

И проблема в том, что в настройках доступа для незарегистрированных устройств нет чекбокса "без доступа к локальной сети". Т.е. пусть они в интернете гуляют, но в локальной сети им делать нечего;

1114557553_.JPG.ae07e0456073c302afc8e71a72b33758.JPG

Теоретически, можно настроить DHCP для незарегистрированных устройств с определённой маской и эту подсеть обозначить гостевой. Но ведь может так случиться, что человек придёт с заранее настроенным IP  и свободно подключится к общей сети.

Или можно как-нибудь ещё ограничить доступ?

Link to comment
Share on other sites

  • 0
10 минут назад, Evgen Storm сказал:

Вот, смотрите, как получается:

Где-то, на каком-то участке сети, через несколько коммутаторов, находится hot-spot. И все устройства, подключенные к нему имеют статус "Проводная сеть".

1808808041_2.thumb.JPG.f58a30afe59ee60da385cadd61b44ac5.JPG

И проблема в том, что в настройках доступа для незарегистрированных устройств нет чекбокса "без доступа к локальной сети". Т.е. пусть они в интернете гуляют, но в локальной сети им делать нечего;

1114557553_.JPG.ae07e0456073c302afc8e71a72b33758.JPG

Теоретически, можно настроить DHCP для незарегистрированных устройств с определённой маской и эту подсеть обозначить гостевой. Но ведь может так случиться, что человек придёт с заранее настроенным IP  и свободно подключится к общей сети.

Или можно как-нибудь ещё ограничить доступ?

Вы опять пытаетесь придумывать костыли для задачи которая решается управляемыми комутаторами и распределением трафика по vlan. А в той картинке которую вы рисуете трафик даже не будет доходить до роутера а заворачиваться непосретственно на клиентов локальной сети на комутаторах. 

Link to comment
Share on other sites

  • 0
6 минут назад, r13 сказал:

А в той картинке которую вы рисуете трафик даже не будет доходить до роутера а заворачиваться непосретственно на клиентов локальной сети на комутаторах. 

Да, действительно. Туплю.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...