"Public" и "Protected" уровни безопасноси

[4e.Guevara]

В документации не совсем внятно дано (или я не очень понял) описание этих двух уровней безопасности интерфейсов. А именно сказано:

Запрещено устанавливать соединения, приходящие на интерфейс public, т.е. в направлении public→private и public→public.

Тоесть из подсетей public мы никуда не попадем, пока явно не пропишем правила в фаерволле или не настроим NAT. Тут вроде более-менее.

По "Protected":

protected интерфейсы не имеют доступа к устройству и другим private/protected подсетям.

А вот тут вопрос - делаю так:

interface WifiMaster0/AccessPoint1

name GuestWiFi

description "Guest access point"

traffic-shape rate 5120

mac access-list type deny

security-level protected

encryption disable

ip address 192.168.193.1 255.255.255.0

ip dhcp client dns-routes

ip dhcp client name-servers

ip access-group _WEBADMIN_GuestWiFi in

ssid "4e Guest"

up

Список "ip access-group" пуст. В итоге устройство, подключенное к этому интерфейсу, получает свой IP (по DHCP), шлюз и DNS роутера и спокойно выходит в инет, хотя доступа к устройству (роутеру) не имеет (веб-морда и все остальные порты), пока не разрешишь в фаерволле, но каким то образом умудряется работать с DNS и шлюзом роутера.

[ndm]

Именно DHCP и DNS в режиме protected открыты, чтобы гости могли иметь доступ в интернет (в public). Вы правы, об этом стоит упомянуть в документации.