Új hozzászólás Aktív témák

• #4186 almi senior tag animal1987 #4183

  Új Válasz 2017-11-27 22:08:26 #4186

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  almi

  senior tag

  válasz animal1987 #4183 üzenetére

  Szia!

  Igen, így csináltam én is.
  A konfig még elég alap.
  A lényeg, hogy ether2 a LAN portom és erre csináltam egy plusz VLAN interface-t, ami a Guest network. (Illetve 2 subnetem van az irodai LAN-ban is.)
  Mind a 2 kap DHCP-ről IP-t, különböző subnetből. NAT szabály is be van állítva mind a 2-n, és az Unifi AP-k szórják mind a 2 SSID-t. Unifi Guest policy-vel van beállítva a VLAN. Internet van mind a 2-n, minden jó, csak annyi, hogy a tűzfal szabályok ellenére is átlátok a Guest-ből az irodai LAN-ra, valamiért.

  A tűzfal szabályok pedig így néznek ki:

  add chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input dst-address=10.125.10.0/24 src-address=192.168.2.0/24
add action=drop chain=input dst-address=10.125.25.0/24 src-address=192.168.2.0/24
add chain=input comment="defconf: accept established,related" connection-state=established,related
add chain=input comment=VPN dst-port=11194 protocol=tcp
add chain=input comment="SSTP VPN" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1_WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1_WAN

  Illetve miért jobb, ha Bridge-e van az embernek és nem az Interface-nek ad IP-t?

Új hozzászólás Aktív témák