MDP

Аналогично ))))

Хотелось бы перманентно блокировать...а тут до перезагрузки, или только на некоторый временной интервал.

...ещё бы сюда какую нибудь финтифлюшку приделать для защиты от брутфорсинга )))) ...вообще была бы "бомба". я осознаю , что без анализа логов на предмет авторизации отдельных служб такого не сделать...да и есть отдельные приложения типа fail2ban...

Так...очень интересно, а реализовать сохранение в какой нибудь файл с некой периодичностью, а после перезагрузки формировать ipset из файла обратно реализуемо?

Список заблокированных хостов и подсетей хранится в ОЗУ ? Или на флешке?

Интересный момент...у меня M6500W, но подключен к kn-1713 ...вроде как работает.

Ну и загоните их принудительно в 2.4. ... зачем отдельный сегмент?

А эти принтеры вообще умеют 5 ГГц ?

Для уточнения и просветления... ip access-group <--> in ip access-group <--> out справедливо для любого интерфейса же? Лично мне интересно использовать на текущий момент не в конструкции взаимодействия WAN-LAN. А надо внутри между VLAN. Оно думаю будет работать? Мне для начала надо добавить на всех VLAN в интерфейсах ip access-group VLAN3 out ip access-group VLAN10 out .... и т.д. Далее создаём правила в access-list VLAN3 auto-delete access-list VLAN10 auto-delete ...и тд.. Чтобы ничего не прервалось на этапе создания. в access-list каждого VLAN надо добавить последним правилом deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 А потом выше этого правила то, что разрешается на вход для этого интерфейса... Например: permit ip 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 Разрешаем всё входящее от 192.168.3.18 на 192.168.10.133 Соответственно на правиле in другого vlan пишем всё наоборот? Теперь мне надо например запретить моментально обращаться с хоста 192.168.3.18 на 192.168.10.133 по порту 443 Мне достаточно добавить deny tcp 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 port eq 443 ??? И всё...сразу всё прервётся и наступит "справедливость"?

А вот на мобильных клиентах могут использоваться свои dns ... попробуйте в МСЭ запретить клиентам обращаться по 53 порту наружу....

Даже в 2 раза можно уменьшить

А смысл есть городить mesh ? Просто EoIP через провайдера сделать...и всё...зачем mesh?

Было тоже самое примерно 2 недели назад....но я поставил на облако двухфакторную авторизацию, поэтому думал из-за этого пришлось перезаходить в УЗ.

ладно покажите вывод команды show mws member

На некоторые сервисы есть защита от брутфорса ...они настраиваются https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру