Сообщение Re[2]: dhcp_option 121 - как раздать клиентам разные настрой от 04.01.2023 18:11
Изменено 04.01.2023 18:24 rg45
Re[2]: dhcp_option 121 - как раздать клиентам разные настрой
Здравствуйте, m2user, Вы писали:
R>>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
M>Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
На физическом уровне да, через роутер, но по умолчанию, если не предпринимать дополнительных телодвижений адрес шлюза у всех клиентнов проставляется On-Link. В этом случае трафик роутером не маршрутизируется и не фильтруется, как-будто все клиенты общаются друг с другом напрямую.
M>Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
M>Нужно ещё что-то на роутере настроить (обычно port isolation называется).
Это ж домашний роутер. Для моих клиентов такой защиты вполне достаточно
Разделил адресное пространство на три зоны, внутри каждой зоны клиенты общаются по On-Link, а между зонами — маршрутизация через роутер и фильтарция трафика через iptables.
M>P.S. сеть wi-fi или ethernet?
Бридж Wi-Fi, ethernet и OpenVPN. Ethernet — только один узел всего.
R>>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
M>Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
На физическом уровне да, через роутер, но по умолчанию, если не предпринимать дополнительных телодвижений адрес шлюза у всех клиентнов проставляется On-Link. В этом случае трафик роутером не маршрутизируется и не фильтруется, как-будто все клиенты общаются друг с другом напрямую.
M>Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
M>Нужно ещё что-то на роутере настроить (обычно port isolation называется).
Это ж домашний роутер. Для моих клиентов такой защиты вполне достаточно
Разделил адресное пространство на три зоны, внутри каждой зоны клиенты общаются по On-Link, а между зонами — маршрутизация через роутер и фильтарция трафика через iptables.
M>P.S. сеть wi-fi или ethernet?
Бридж Wi-Fi, ethernet и OpenVPN. Ethernet — только один узел всего.
Re[2]: dhcp_option 121 - как раздать клиентам разные настрой
Здравствуйте, m2user, Вы писали:
R>>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
M>Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
На физическом уровне да, через роутер. Но по умолчанию, если не предпринимать дополнительных телодвижений, адрес шлюза у всех клиентнов проставляется On-Link. В этом случае трафик роутером не маршрутизируется и не фильтруется, как-будто все клиенты общаются друг с другом напрямую.
M>Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
M>Нужно ещё что-то на роутере настроить (обычно port isolation называется).
Это ж домашний роутер. Для моих клиентов такой защиты вполне достаточно
Разделил адресное пространство на три зоны, внутри каждой зоны клиенты общаются по On-Link, а между зонами — маршрутизация через роутер и фильтарция трафика через iptables.
M>P.S. сеть wi-fi или ethernet?
Бридж Wi-Fi, ethernet и OpenVPN. Ethernet — только один узел всего.
R>>Использую на своем домашнем роутере dnsmasq.conf с одной лишь целью — раздать клиентам статические маршруты. Нужно это для того, чтобы запустить всю маршрутизацию через роутер и иметь возможность фильтровать трафик (чтоб клиенты не могли общаться друг с другом через On-Link). Добиваюсь этого при помощи dhcp_option 121:
M>Гм, так трафик и так через роутер идет. Или в сети ещё где-то L2-switch присутствует?
На физическом уровне да, через роутер. Но по умолчанию, если не предпринимать дополнительных телодвижений, адрес шлюза у всех клиентнов проставляется On-Link. В этом случае трафик роутером не маршрутизируется и не фильтруется, как-будто все клиенты общаются друг с другом напрямую.
M>Если ты не доверяешь клиентским машинам, то статический маршрут через DHCP это не полное решение, т.к. DHCP-клиент не обязан использовать все настройки, которые ему скинул DHCP-сервер.
M>Нужно ещё что-то на роутере настроить (обычно port isolation называется).
Это ж домашний роутер. Для моих клиентов такой защиты вполне достаточно
Разделил адресное пространство на три зоны, внутри каждой зоны клиенты общаются по On-Link, а между зонами — маршрутизация через роутер и фильтарция трафика через iptables.
M>P.S. сеть wi-fi или ethernet?
Бридж Wi-Fi, ethernet и OpenVPN. Ethernet — только один узел всего.