Jump to content
  • 0

Ограничаване достъпа от Wi-Fi до локалната мрежа


neo

Въпрос

Здравейте,

В локалната мрежа в офиса към един суич вързвам Mikrotik HAP LITE RB941-2ND към WAN порта. Задавам статичен IP адрес.  Целта е да пусна Wi-Fi за клиенти. Настройвам безжичната мрежа и всичко си работи. Като вляза в тази безжична мрежа, по ip мога да достъпя компютри и сървъри от локалната мрежа.

Може ли да се направи така, че клиентите като се закачат за wifi, случайно да не влязат в някой сървър, да нямат достъп локалната мрежа в офиса?

Пробвах с правила в защитната стена, но спира интернета.

Благодаря!

 

 

Адрес на коментара
Сподели в други сайтове

15 отговори на този въпрос

Recommended Posts

  • 0
  • Администратор
Преди 1 час, neo написа:

Здравейте,

В локалната мрежа в офиса към един суич вързвам Mikrotik HAP LITE RB941-2ND към WAN порта. Задавам статичен IP адрес.  Целта е да пусна Wi-Fi за клиенти. Настройвам безжичната мрежа и всичко си работи. Като вляза в тази безжична мрежа, по ip мога да достъпя компютри и сървъри от локалната мрежа.

Може ли да се направи така, че клиентите като се закачат за wifi, случайно да не влязат в някой сървър, да нямат достъп локалната мрежа в офиса?

Пробвах с правила в защитната стена, но спира интернета.

Благодаря!

 

 

Слагаш в преминаваща верига правило заявките към/dst/ към мрежата от която е и WAN на hAPчето с изключение на адреса на основният рутер/гейта на /hAPчето/ да се дропи си изключение на заявките от /src/ позволените адреси от локалната на hAPчето да се дропят. За целта ще си направиш адрес листа на твоите устройства и листа за мрежата , като ще го вдигнеш като първо правило във веригата. Правилото трябва да изглежда така горе долу:

/ip fi address-list 
add address=172.16.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs
add address=192.168.1.7 list=MyIPs
/ip fi fi 
add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNET" src-address-list="MyIPs"

 

Редактирано от JohnTRIVOLTA
  • Харесай 1
  • Благодаря 1
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 9 часа, JohnTRIVOLTA написа:

Слагаш в преминаваща верига правило заявките към/dst/ към мрежата от която е и WAN на hAPчето с изключение на адреса на основният рутер/гейта на /hAPчето/ да се дропи си изключение на заявките от /src/ позволените адреси от локалната на hAPчето да се дропят. За целта ще си направиш адрес листа на твоите устройства и листа за мрежата , като ще го вдигнеш като първо правило във веригата. Правилото трябва да изглежда така горе долу:

/ip fi address-list add address=172.16.0.0/24 list=LocalNet add address=192.168.1.2 list=MyIPs add address=192.168.1.7 list=MyIPs /ip fi fi add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNET" src-address-list="MyIPs"

/ip fi address-list 
add address=172.16.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs
add address=192.168.1.7 list=MyIPs
/ip fi fi 
add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNET" src-address-list="MyIPs"

 

Допуснал съм грешка в правилото за дроп и то трябва да е:

/ip fi fi 
add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNет" src-address-list=!"MyIPs"

Трябва да се дропи всичко към локалната мрежа освен адреса на гейта и освен моите адреси !

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 11 часа, master написа:

Hap-a в рутер или ап режим е?

 

В рутера няма други мрежи освен Wi-Fi, който е в режим ap bridge.

 

Правилно ли съм разбрал или някъде греша?

1. Правя адрес лист на цялата LAN мрежа с изключение на адреса Главния рутер и Адреса на hAP-чето.

2. Правя адрес лист на диапазона 195.171.99.2-195.171.99.254

3. Добавям правило в защитната стена най-горе:

/ip fi fi 
add action=drop chain=forward dst-address=!192.168.0.50 dst-address-list="LAN net" src-address-list=!"Wi-Fi"

 

LAN Мрежата на която е закачено hAPчето е от 100 компютъра.

hAP WAN адреса примерно е 192.168.0.50

Wi-Fi шлюз примерно 195.171.99.1 (адресите ги раздава dhcp сървър).

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 2 часа, neo написа:

 

В рутера няма други мрежи освен Wi-Fi, който е в режим ap bridge.

Да беше написъл така, а не вързал съм го във WAN от начало, че се подразбира така, че го ползваш, като рутер със сорснат! Щом устройството ти е в този режим ще трябва да ползваш филтъра в бриджа. Ако не сработят правилата, трябва да пробват като се махне отметката FastForward на бриджа ! Правилта са други, но така и не мога да разбера какво правиш за да ти постна някакви! А пък тази публична мрежа от къде се появи ???

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Рутер 1 - главен рутер на цялата мрежа - 192.168.0.0/24

Рутер 2 - hAP включвам във WAN порта му кабел от един суич в мрежата на рутер 1 и има само безжична мрежа на него(други мрежи няма).

На Рутер 2 съм задал статичен адрес от мрежата на Рутер1, който примерно е 192.168.0.50 с шлюз 192.168.0.250. На Рутер 2 шлюза е 195.171.99.1, а останалите адреси във Wi-Fi мрежата ги раздава DHCP сървъра.

 

Може ли да се направи така, че клиентите като се закачат за wifi, случайно да не влязат в някой сървър, да нямат достъп локалната мрежа на Рутер 1?

Дали го обясних по-добре не знам.

Редактирано от neo
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 5 минути, neo написа:

На Wi-Fi мрежата шлюза е 195.171.99.1, а останалите адреси ги раздава DHCP сървъра.

Нима сте сетнали публична мрежа в локален сегмент ? Ако е така я променете на пример 192.168.1.0/24 като с адрес едно да бъде на бриджа на хапчето

После следвайте правилата от първият ми пост. Изглежда все пак е в рутер нод този hAP Lite

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 11 часа, JohnTRIVOLTA написа:
/ip fi address-list 
add address=172.16.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs
add address=192.168.1.7 list=MyIPs

Първия ред Wi-Fi мрежата ли е?

Следващите два реда са адресите на Рутер 1?

Правилно ли съм разбрал?

Редактирано от neo
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 37 минути, neo написа:

Първия ред Wi-Fi мрежата ли е?

Следващите два реда са адресите на Рутер 1?

Правилно ли съм разбрал?

Първият ред ти е мрежата локалната с 192.168.0.0/24 . вторият и ътретият ред са пример тези по wifi които ще имат право да влизат по сървърите . Ако няма такива няма да ги добвяте правите.

/ip fi address-list
add address=192.168.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs 
add address=192.168.1.7 list=MyIPs
/ip fi fi 
add action=drop chain=forward dst-address=!192.168.0.1 dst-address-list="LocalNет" src-address-list=!"MyIPs" place-before=0

 

Адрес на коментара
Сподели в други сайтове

  • 0

Разбрах, благодаря много!

преди 57 минути, JohnTRIVOLTA написа:

Ако няма такива няма да ги добвяте правите.

Няма такива адреси от Wi-fi, които ще достъпват сървъри.
Тогава тук какъв адес лист да въвеждам?
src-address-list=!"MyIPs"   - 
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 1 час, neo написа:

Разбрах, благодаря много!

Няма такива адреси от Wi-fi, които ще достъпват сървъри.
Тогава тук какъв адес лист да въвеждам?
src-address-list=!"MyIPs"   - 

Сложи този на хапа 192.168.1.1

/ip fi address-list
add address=192.168.0.0/24 list=LocalNet
add address=192.168.1.1 list=MyIPs 
/ip fi fi 
add action=drop chain=forward dst-address=!192.168.0.1 dst-address-list="LocalNет" src-address-list=!"MyIPs" place-before=0

  

 

Редактирано от JohnTRIVOLTA
  • Благодаря 1
Адрес на коментара
Сподели в други сайтове

  • 0

Изясниха ми се нещата. В понеделник ще задам настройките на рутера.

Благодаря много!

Приятен уикенд!

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Дигни едно виртуално безжично АР и му сложи тотално различна мрежа.

Така си опростяваш задачата,

  • Благодаря 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.