Заблокировать связь между пользователями точки доступа.

Привет, я тоже хотел бы это сделать. Вот какие идеи мне пришли в голову: каждому пользователю Hotspot выдать свой собственный подсеть и конкретный адрес роутера. Как-то настроить VLAN. Насколько я знаю, в беспроводной настройке есть параметры для ограничения трафика между клиентами Wi-Fi, но с проводными клиентами я не знаю, как это сделать. У кого-нибудь есть идеи или предложения по реализации моих мыслей?

С уважением,
Алекс

Спасибо за ответ, но это сработает? Похоже, мы хотим, чтобы у маршрутизатора (MT) было два Ethernet NIC: один локальный, а другой - WAN. Пользователи точки доступа подключаются обычным свитчем и cat 5e кабелями к локальному интерфейсу и получают от DHCP IP-адрес в той же подсети. Они аутентифицируются через точку доступа. Мы хотим предотвратить, чтобы пользователь точки доступа №1 мог передавать какие-либо пакеты пользователю точки доступа №2. Я что-то не так понял?

Похоже, я ошибаюсь, но думаю, тебе стоит добавить управляемые коммутаторы и настроить отдельные VLAN, иначе трафик может обрабатываться на уровне коммутатора, не доходя до роутера.

Ты добавляешь правило файрвола, которое отбрасывает пакеты, входящие через интерфейс точки доступа и пытающиеся выйти через тот же интерфейс. Или ты добавляешь правило файрвола, которое отбрасывает пакеты, у которых IP-адрес источника — твоя сеть точки доступа, а назначение — не адрес шлюза точки доступа. Добавляй их на MT, который фактически работает с точкой доступа, и убедись, что ты отключил "пересылку" на радиоинтерфейсе, чтобы радио не пыталось пересылать пакеты между беспроводными пользователями, прежде чем они попадут в роутер.

По крайней мере, через интерфейс Winbox, рядом с полем "Адрес назначения (Dst. Address)" есть маленький чекбокс с опцией "не". Просто поставь галочку и введи адрес шлюза, тогда он будет сопоставляться со всем, что *не* является адресом шлюза. Можно также сделать это по исходящему и входящему интерфейсам, что может быть быстрее, чем сравнение IP-адресов. Укажи и исходящий, и входящий интерфейс как интерфейс точки доступа, тогда пакеты, которые хотели бы начать в одном клиенте точки доступа и завершиться в другом, будут заблокированы. И не забудь отключить "пересылку" на радиокарте, используемой для точки доступа, чтобы она не перенаправляла пакеты напрямую.

Я добавил правило файрвола, как указано ниже: chain=forward src-address=192.168.16.0/20 dst-address=!192.168.16.1 action=drop. 192.168.16.1 — это шлюз. Но из-за этого у всех пользователей пропала интернет-связь. Я не использую беспроводной интерфейс точки доступа.