Прозрачный свитч с фаерволом. Как реализовать?

Question

[defrel]

Здравствуй, народ!
Подскажите, пожалуйста, как реализовать, или ткните где почитать, вопрос, наверн, простой.
В-общем, нужно настроить устройство (роутер, управляемый свитч, не важно) в прозрачном режиме между Wi-Fi клиентами (1 ssid) и локальным DHCP.
Имеется:
-С одной стороны несколько WiFi точек в режиме AP.
-С другой - роутер, на нем DHCP для клиентов WiFi, и wan в интернет, включён NAT.

Нужно поставить устройство между этими двумя частями, чтобы клиенты WiFi его не видели (видели только DHCP роутер), но в то же время, устройство должно уметь настраивать правила для всех или конкретного клиента по mac (запрещать / разрешать порты, возможно запрещать доступ к некоторым url, контроллировать arp, а также запретить локальный трафик между клиентами). На устройстве, допустим, несколько портов, 1 к роутеру, остальные к WiFi точкам.
Интересует название такой системы, в первую очередь, и какими методами (вкратце) это можно решить. Извиняюсь за несколько сумбурное описание, я, к сожалению, не специалист в этой области. Заранее спасибо ответившим)

Answer 1

[Армянское Радио]

Такого устройства (решающего все ваши задачи) нет.
Изоляция трафика между клиентами возможна либо при помощи персональных тоннелей, либо при помощи специальных точек доступа с контроллером.

Comments

[defrel]

Спасибо, действительно, с изоляцией трафика между клиентами на одном порту - это в другую сторону. Подумаю насчёт второго варианта (isolated AP)

[vreitech]

или supervlan

Answer 2

[Константин Степанов]

Возьмите роутер на openwrt, выведите порт или несколько в отдельный vlan, сделайте отдельную зону для фаерваола и работайте с ним.

Comments

[defrel]

Спасибо, о чем-то в таком роде и думал. То есть делаем vlan из клиентов, и прописываем правила iptables? Бридж vlan - wan не нужно делать?

[Константин Степанов]

Из портов отдельного vlan делаем второй lan интерфейс, для него прописываем общие правила фаервола как для обычного lan, выводя его в отдельную зону фаервола. В свойствах первого lan вносим второй lan в мост для первого если необходимо чтобы они друг друга видели. Также для этой отдельной зоны навешиваем дополнительные правила которые необходимы уже для этих клиентов. С сами параметры зоны копируем из первого lan.

[defrel]

Константин Степанов: большое спасибо. На днях куплю железку для тестов (смотрю в сторону ubiquiti elite), попробую Ваше решение!

[Константин Степанов]

defrel: Если нужно убрать трафик между клиентами одной точки доступа, тоесть убрать lan to lan трафик, то необходимо тогда поднять proxy или vpn на роутере и заставить клиентов их использовать. И тогда принудительно фаерволлом отправлять трафик на другие локальные адреса в wan или просто зарубать. Но я не никогда не делал такое, возможно proxy с vpn не требуется. Но по-идее, если клиентов подключить к одной точке доступа и дать статический ip каждой, а саму точку доступа не подключать к роутеру и отключить у неё dhcp, то клиенты бюсмогут обмениваться информацией по ip. Еще как вариант - на точках доступа ввести правило что только на шлюз разрешен трафик в локальной сети, то это поможет.

[Константин Степанов]

defrel: Нашел обсуждение с решением по ограничению lan to lan Фильтрация пакетов в bridge (iptables,ebtables)

Answer 3

[Руслан Федосеев]

а что мешает все это реализовать на роутере? для максимальной гибкости возьмите или микротик или опенврт

Answer 4

[huko]

Можно поставить в разрыв тот же Mikrotik, настроить bridge + bridge filter rule.
Более продвинутый вариант - linux + ebtables.