+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как фильтровать Wi-Fi трафик между станциями AP на фаерволе?

Как фильтровать Wi-Fi трафик между станциями AP на фаерволе?, RouterOS

lapsio

Guest

10.05.2016 16:53:00

Я хотел бы, чтобы MT фильтровал трафик AP между станциями так же, как /interface bridge может использовать IP-файрвол для контроля трафика между портами моста. Как это сделать? Я пытался отключить default-forwarding и включить ARP-proxy, так как это казалось разумной идеей, но не сработало — роутер не хотел отвечать своим MAC, если клиент запрашивал станции в той же сети. В целом, мне нужно, чтобы ПК, подключённые к AP в одной сети (с DHCP), могли общаться только по некоторым портам (22). То есть, по сути, просто пропускать L2 трафик через своего рода файрвол. Один из вариантов, как мне кажется, — заставить роутер отвечать на все ARP-запросы своим MAC, другой — как-то заставить клиентов отправлять весь трафик через gw. Слышал про хаки с /32 сетью и gw, установленным на собственный IP клиента, но похоже, это не работает с DHCP, потому что, думаю, мне пришлось бы заводить где-то 254 пула и 254 сети с правильным gw.

UpRunTech

Guest

27.08.2018 03:47:00

Как у вас с решением на /32 обстоят дела с широковещательными пакетами, такими как Bonjour и mDNS? Некоторое время назад я искал способ принудительно пропускать весь трафик станций на интерфейсе WLAN через мост, чтобы можно было делать фильтрацию на уровне моста. К сожалению, с Mikrotik это не работает, если только они не реализуют функцию hairpin в мосту (стандартный Linux-мост поддерживает hairpin) или не позволят всем станциям динамически подключаться к мосту как к портам, что может не очень хорошо вписаться в модель моста.

lapsio

Guest

27.08.2018 17:06:00

На самом деле я только что нашёл ещё более классное решение — просто использовать arp=local-proxy-arp. Нужно просто поставить default-forwarding=no на беспроводном интерфейсе и arp=local-proxy-arp на мосту, к которому прикреплён wlan-интерфейс и на котором есть IP-адрес. Тогда MikroTik будет отвечать на все arp-запросы своим MAC, даже если маска не /32, а, например, /24. При этом Wi-Fi-интерфейс будет блокировать прямое общение между станциями (включая arp), так что единственный arp-ответ, который получит станция, будет от роутера.

Думаю, это может вызвать некоторые проблемы, если Wi-Fi подключён к обычному L2-широковещательному домену, потому что тогда MikroTik тоже будет отвечать на каждый arp-запрос от коммутатора, и без какого-либо фильтра может возникнуть гонка. Но, по моему мнению, это не критическая гонка. В худшем случае трафик будет идти через роутер, а не напрямую через коммутатор. Но, насколько я заметил, MikroTik отвечает на такие arp с небольшой задержкой (несколько миллисекунд), так что в большинстве случаев реальный arp будет быстрее (если только на коммутаторе не стоит фильтрация arp).

Когда я искал решение этой задачи раньше, local-proxy-arp в MikroTik ещё не существовал, поэтому такого варианта не было. Но, видимо, теперь всё изменилось!

Kentzo Guest	#4 0 10.08.2023 23:44:00 ...несколько лет спустя... Возможно, сейчас можно запустить mDNS-ретранслятор в контейнере. Он также может отвечать за создание записей Wide Area DNS.

lapsio Guest	#5 0 11.08.2023 00:39:00 local-proxy-arp не мешает вещанию и всему такому, и у меня в настройках уже годами работает без проблем.

Kentzo

Guest

11.08.2023 01:18:00

Хмм, наверно, я что-то очевидное упускаю. У тебя на AP изолированные L2-клиенты. На RouterOS в бридже стоит arp=local-proxy-arp, но это, кажется, не имеет значения, потому что IP-мультикаст использует заранее выделенные L2 broadcast-адреса в качестве назначения. Как это не нарушает работу IP-мультикаста, например mDNS? Я бы ожидал, что AP будет пересылать такие пакеты на другие порты бриджа, но не обратно своим клиентам.

lapsio Guest	#7 0 25.08.2018 22:27:00 После всех этих лет я наконец-то разгадал эту загадку. Решение оказалось простым — отключить default-forward и выдать всем станциям маску /32 через DHCP или статическую настройку (и, вероятно, включить ip-firewall на мосту). Теперь все пакеты идут на MAC-адрес роутера, который затем фильтрует их в цепочке firewall в режиме forward. В итоге достигается ожидаемый результат — станции могут общаться друг с другом только если это разрешает firewall. Если какая-то нечестная станция вручную поставит маску /24, она вовсе не сможет связаться с другими, так что в целом это выглядит безопасно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры