Настройка доступа из LAN в WAN в роутерах ASUS (upd. ответ внизу)?
...тут недавно обнаружил неприятную вещь на работе
Суть такова:
есть на работе 3 роутера АСУС, есть отдельно шлюз, который дает адреса(не DHCP) и доступ в интернет проводным пользователям, так из этого шлюза к этим роутерам тоже заходит интернет, но фишка в том, что после настройки роутера я свободно пингую и работаю с сетью WAN.
пример:
192.168.1.1-254 это сеть роутера LAN
192.168.10.1-254 это сеть организации, откуда в роутер приходит WAN
получается что я свободно могу пинговать что угодно и стучаться из сети LAN в сеть WAN, прицеплять сетевые диски, шариться в ресурсах. т.е. имея IP адрес 192.168.1.15 могу пинговать 192.168.10.1-254 и цепляться к этим ресурсам
так вот вопрос - каким образом мне ограничить доступ из LAN в WAN, чтобы не пинги не приходили, ни общая сеть не была доступна. это реально? потому что дырка такая в сети никому не нужна, мне не нужны лишние пакеты от клиентов wi-fi, особенно всякая сетевая червечня.
UPDATE
в общем связался с поддержкой, они сказали, что роутеры для этого и служат, что если попытается заблокировать доступ на внутр сеть WAN, то у вас и интернет пропадет, поэтому единственное решение - создать закрытую от общей сети другую сеть.
А что у вас там такое раздает адреса и не dhcp при этом?
да обычное шлюзовое ПО - Керио, но не раздает, а задает у себя, с прописью у каждого пользователя конкретного адреса в свойства сетевых. я плохо выразился.
Что в этом удивительного, так и должно быть.
ну по дефолту видимо да...
Для этого есть файервол, пишите правила.
о том и речь - как прописать это пункт в роутере, в одном из роутеров я нашел фильтр в брандумауере пакетов и ICMP запросов (в частности сейчас удалось заблокировать пинг из lan в wan, но это всего лишь пинг, а ходить на любую машину из общей сети по прежнему можно. скрин
Вот у вас там на скриншоте пункт "действие для неопределенных пакетов" указано разрешать.
Поменяйте его на запрещать.
А потом пропишите правила для тех кого нужно разрешать.
Средний
