HotSpot - protect LAN

acheron1555

Zdravim vsetkych.

Mam nasledovny problem:

mam zbridgovane interfaci ETHER1-3 + WLAN1. Na wirelesse mam vytvorenu este virtual AP WLAN2, kde pustam HotSpot. Vsetko funguje korektne az na jednu vec - uzivatelia z hotspotu sa mi dostanu aj na LAN, comu by som chcel zabranit. Vie mi niekto poradit pravidlo do firewalu, aby useri z hotspotu mali len plny pristup na net (vsetky sluzby, vsetky protokoly), ale ziaden pristup na LAN? skusal som uz vsetko mozne, ale nic mi bohuzial nefunguje tak, ako by som chcel.

Siet LAN: 192.168.0.0/24

Siet HotSpot: 10.0.0.0/24

MTik: LAN .168.0.254 HotSpot: 10.0.0.1

gateway (modem): 192.168.0.1

Dakujem za vsetky rady :)

hallo

ip/firewall/filter/ chain=forward dst-address=192.168.0.0/24 src-address=10.0.0.0/24 action=drop

acheron1555

ip/firewall/filter/ chain=forward dst-address=192.168.0.0/24 src-address=10.0.0.0/24 action=drop

nefunguje to tak, ako by som chcel :(

sice pristup do lan 192.168.0.0/24 uz nie je, nepingnem ziadne zariadenie, nepripojim sa telnetom na ziadne zariadenie, nejde SMB na sietovy disk na LAN (teraz ma napadlo, ze FTP na lan som neodskusal), ale vsetko, co bezi na lan cez HTTP je stale dostupne + stale plne dostupny mikrotik na LAN 192.168.0.254 !

Proste aj ako HotSpot user sa stale dostanem na web administraciu modemu, sietoveho disku, na MTik sa pripojim web rozhranim aj winboxom. Chcel by som zablokovat pre hotspot vsetko z LAN a aj pristup na MTik z LAN aj HotSpot...

hallo

Skus v Bridge/settings zapnout use ip firewall,potom by to pravidlo melo blokovat všechen forward mezi těma dvouma sítěma.

acheron1555

Skus v Bridge/settings zapnout use ip firewall,potom by to pravidlo melo blokovat všechen forward mezi těma dvouma sítěma.

ako som predpokladal - nepomohlo. WLAN2, ktora je virtualAP a na ktorej bezi HotSpot nie je v BRIDGE. V tom su vsetky ostatne interface. Este upresnenie spravania sa MTiku: po aplikovani pravidla uz nie je pristup na MTik cez winbox ani nie je dostupny ping, ani FTP ani nic ine na LAN, su vsak dostupne webove sluzby na LAN! Ako zabranit aj tomuto? THX

davidliska

Když není ten virtual v bridgi, není mezi těma rozsahama nat ?

acheron1555

Když není ten virtual v bridgi, není mezi těma rozsahama nat ?

urcite je... ale je to defaultny NAT, ktory si vytvoril sam HotSpot

hallo

IP/servicess WWW avaible from 192.168.0.0/24

acheron1555

IP/servicess WWW avaible from 192.168.0.0/24

hmmm.... presne tak to mam nastavene...... a stale je to dostupne aj z HotSpotu 10.0.0.0/24 ... uz som z toho magor...