а нужен ли фаервол на точке доступа?

[nevolex]

Всем привет, помогите советом:


есть два роутера (технически 3)

основной где есть интеренет rs4011, mikrtik audience которая работает как точка доступа и Ltap для 4g для бекапа


rs4011 и mikrtik audience соединены транком влан 10 (оснвной) и 20 (гости)

Правила есть на основном фейрволе, но я для интереса поставил правило для точки доступа тоже: drop all not coming from LAN и я вижу пакеты он ловит

Мне интересно нужны ли вообще правила на точке доступа у нее же все интерфесы лан, откуда тогда пакеты?

primary.png

Есть ли смысл в фаерволе на точке доступа в моем слуачае?

спасибо

[Chupaka]

Приветствую.

откуда тогда пакеты?

Поставьте галку "Log" на вкладке Action в вашем правиле drop - и узнаете точно из лога, что было дропнуто. Например, это может быть широковещательный трафик на ether1.

Есть ли смысл в фаерволе на точке доступа в моем слуачае?

Ну, если гости могут быть хакерами - то почему нет? Хотя тут, видимо, от гостей оно не защитит.

[nevolex]

Приветствую.

откуда тогда пакеты?

Поставьте галку "Log" на вкладке Action в вашем правиле drop - и узнаете точно из лога, что было дропнуто. Например, это может быть широковещательный трафик на ether1.

Есть ли смысл в фаерволе на точке доступа в моем слуачае?

Ну, если гости могут быть хакерами - то почему нет? Хотя тут, видимо, от гостей оно не защитит.

Да Вы правы это от самого роутера ?
c4:ad:34:f6:xx:xx

Друзей хакеров у меня нет это просто обычная домашняя сеть


выглядит как dhcp discovery?

но если я их блокирую как тогда клиенты на вай-фай получают лиз?

in:ether1-trunk out:(unknown 0), src-mac c4:ad:34:f6:xx:xx, proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328

firewall.png

[Chupaka]

Да, это DHCP Discovery (ну и один пакет Neighbour Discovery есть на скриншоте). Поскольку вы блокируете в chain=input - это трафик, который получает непосредственно IP-интерфейс роутера, и проходящие сквозь роутер пакеты (маршрутизация/коммутация) не затронуты.