а нужен ли фаервол на точке доступа?

Базовая функциональность RouterOS
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

а нужен ли фаервол на точке доступа?

Сообщение nevolex »

Всем привет, помогите советом:


есть два роутера (технически 3)

основной где есть интеренет rs4011, mikrtik audience которая работает как точка доступа и Ltap для 4g для бекапа


rs4011 и mikrtik audience соединены транком влан 10 (оснвной) и 20 (гости)

Правила есть на основном фейрволе, но я для интереса поставил правило для точки доступа тоже: drop all not coming from LAN и я вижу пакеты он ловит

Мне интересно нужны ли вообще правила на точке доступа у нее же все интерфесы лан, откуда тогда пакеты?
primary.png


Есть ли смысл в фаерволе на точке доступа в моем слуачае?

спасибо
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: а нужен ли фаервол на точке доступа?

Сообщение Chupaka »

Приветствую.
nevolex писал(а): 01 мар 2021, 22:52 откуда тогда пакеты?
Поставьте галку "Log" на вкладке Action в вашем правиле drop - и узнаете точно из лога, что было дропнуто. Например, это может быть широковещательный трафик на ether1.
nevolex писал(а): 01 мар 2021, 22:52 Есть ли смысл в фаерволе на точке доступа в моем слуачае?
Ну, если гости могут быть хакерами - то почему нет? :) Хотя тут, видимо, от гостей оно не защитит.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: а нужен ли фаервол на точке доступа?

Сообщение nevolex »

Chupaka писал(а): 01 мар 2021, 23:23 Приветствую.
nevolex писал(а): 01 мар 2021, 22:52 откуда тогда пакеты?
Поставьте галку "Log" на вкладке Action в вашем правиле drop - и узнаете точно из лога, что было дропнуто. Например, это может быть широковещательный трафик на ether1.
nevolex писал(а): 01 мар 2021, 22:52 Есть ли смысл в фаерволе на точке доступа в моем слуачае?
Ну, если гости могут быть хакерами - то почему нет? :) Хотя тут, видимо, от гостей оно не защитит.


Да Вы правы это от самого роутера ?
c4:ad:34:f6:xx:xx

Друзей хакеров у меня нет это просто обычная домашняя сеть


выглядит как dhcp discovery?

но если я их блокирую как тогда клиенты на вай-фай получают лиз?

in:ether1-trunk out:(unknown 0), src-mac c4:ad:34:f6:xx:xx, proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328

firewall.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: а нужен ли фаервол на точке доступа?

Сообщение Chupaka »

Да, это DHCP Discovery (ну и один пакет Neighbour Discovery есть на скриншоте). Поскольку вы блокируете в chain=input - это трафик, который получает непосредственно IP-интерфейс роутера, и проходящие сквозь роутер пакеты (маршрутизация/коммутация) не затронуты.