Всем здравствуйте. Не могу понять как заблокировать доступ абонентов в интерфейс операторского модема. Микротик (RB750) стоит сразу за модемом и работает в бридже. Модем не паролится, и надо заблокировать к нему доступ. В модем можно попасть по двум адресам: например 10.10.10.1 (он сам) и 192.168.0.1 (DNS), порт что там, что там 80. Адреса абонентам раздаёт модем, сеть к примеру 10.10.10.0/26. RB750 просто транзит от модема до абонентов и сеть до них доходит в неизменном виде. Есть идеи?
Заранее спасибо.
Блокировка доступа к модему оператора
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну тут одна лишь идея: чтобы делать ограничения, и тем более на роутере,
надо трафик пропускать через роутер (не в режиме бриджа) конечно, а значит
надо создать две разные сети, а так как менять адресацию на компах это сложнее,
проще поменять на модеме, знать "новая" (DMZ) сеть будет между модемом и микротиком,
а текущая (локальная) будет между микротиком и компами.
Повторюсь: сети должны быть разными, не пересекающими (включаю по маске).
Микротик будет в двух сетях одновременно.
Ну а дальше файрвол, и всё готово.
надо трафик пропускать через роутер (не в режиме бриджа) конечно, а значит
надо создать две разные сети, а так как менять адресацию на компах это сложнее,
проще поменять на модеме, знать "новая" (DMZ) сеть будет между модемом и микротиком,
а текущая (локальная) будет между микротиком и компами.
Повторюсь: сети должны быть разными, не пересекающими (включаю по маске).
Микротик будет в двух сетях одновременно.
Ну а дальше файрвол, и всё готово.
-
georghacker
- Сообщения: 41
- Зарегистрирован: 24 янв 2019, 07:34
На модеме ничего не поменять. Он операторский и доступа туда нет. Более того, все айпи адреса должны доходить до абонентов без обработки. Максимум что можно, это на роутере абонента поработать. У абонента создаётся своя подсеть на роутере. Кстати тоже микротик.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Сразу надо было это сказать.georghacker писал(а): ↑28 янв 2019, 06:58 На модеме ничего не поменять. Он операторский и доступа туда нет.
Ну я так понимаю, что модем у Вас, и сеть Ваша, модему пофиг кто будет выходить в Интернет.georghacker писал(а): ↑28 янв 2019, 06:58 Более того, все айпи адреса должны доходить до абонентов без обработки.
Ну вот, Ваш роутер это и есть роутер абонента, с одной стороны сеть модема(не меняемая),
с другой - сеть (другая) которая создаётся между микротиком и компами клиента.
Главное сеть должна быть иной, не такая же как у модема от провайдера.
Я так это и описал. Своя сеть (локальная).georghacker писал(а): ↑28 янв 2019, 06:58 У абонента создаётся своя подсеть на роутере. Кстати тоже микротик.
Если сети одинаковые, они не общаются через роутер, а если они не проходят роутер, то нельзя такой
трафик регламентировать, поэтому я и дал совет разделить сети на две.
Если сеть одну менять нельзя, меняйте тогда другую, я же всех условий не знал.