AEvgenich

Добрый день! Товарищи, прошу помощи. Скажу сразу, сам этот вопрос не осилил. Попытался нарисовать схему текущей ситуации. На словах, коротко: на роутере несколько сегментов. Сегмент Home имеет маршруты к сегментам Видеонаблюдение и NAS. Гостевой Wi-Fi только в интернет. В интернет устройства сети ходят по привычным путям, но до некоторых ресурсов проложены маршруты через Европу. Когда я со своего телефона по мобильной связи подключаюсь к VPN серверу IKEv2, поднятому на роутере, то получаю статический IP, доступ к сегменту Home, через него в другие сегменты, а так же доступ в интернет с возможностью открывать все нужные ресурсы. Была задача дать доступ условным друзьям через мой роутер в интернет, но запретить им доступ в локальные сегменты. Долго искал как... обратился в поддержку и они прислали вот такой вариант (через CLI): Опыта особого не имею, сел разбираться, чтобы понимать, что я делаю. Понял, что я даю разрешение "ходить везде" устройству с адресом 172.20.8.1 (мой телефон) и запрещаю всем остальным в данной подсети ходить на интерфейсы Bridge0, 2, 3, 4. Далее этот список правил назначаем нужным интерфейсам в нужном направлении. И вот тут я застрял наглухо. Вероятно, я не понимаю каких то принципиальных вещей. Что за интерфейсы Bridge0, 2, 3 ,4 и почему направление out? Каждый Bridge это один из локальных сегментов? Перекопал интернет, спрашивал в телеге... увы, не смог разобраться. Может быть кто-то сможет меня наставить на путь истинный? Заранее большое спасибо. PS картинку старался рисовать максимально понятно, насколько хватает моих бытовых знаний сетей.