В документации не совсем внятно дано (или я не очень понял) описание этих двух уровней безопасности интерфейсов. А именно сказано:
Запрещено устанавливать соединения, приходящие на интерфейс public, т.е. в направлении public→private и public→public.
Тоесть из подсетей public мы никуда не попадем, пока явно не пропишем правила в фаерволле или не настроим NAT. Тут вроде более-менее.
По "Protected":
protected интерфейсы не имеют доступа к устройству и другим private/protected подсетям.
А вот тут вопрос - делаю так:
interface WifiMaster0/AccessPoint1
name GuestWiFi
description "Guest access point"
traffic-shape rate 5120
mac access-list type deny
security-level protected
encryption disable
ip address 192.168.193.1 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
ip access-group _WEBADMIN_GuestWiFi in
ssid "4e Guest"
up
Список "ip access-group" пуст. В итоге устройство, подключенное к этому интерфейсу, получает свой IP (по DHCP), шлюз и DNS роутера и спокойно выходит в инет, хотя доступа к устройству (роутеру) не имеет (веб-морда и все остальные порты), пока не разрешишь в фаерволле, но каким то образом умудряется работать с DNS и шлюзом роутера.
You can post now and register later.
If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.
Question
4e.Guevara
В документации не совсем внятно дано (или я не очень понял) описание этих двух уровней безопасности интерфейсов. А именно сказано:
Тоесть из подсетей public мы никуда не попадем, пока явно не пропишем правила в фаерволле или не настроим NAT. Тут вроде более-менее.
По "Protected":
А вот тут вопрос - делаю так:
interface WifiMaster0/AccessPoint1
name GuestWiFi
description "Guest access point"
traffic-shape rate 5120
mac access-list type deny
security-level protected
encryption disable
ip address 192.168.193.1 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
ip access-group _WEBADMIN_GuestWiFi in
ssid "4e Guest"
up
Список "ip access-group" пуст. В итоге устройство, подключенное к этому интерфейсу, получает свой IP (по DHCP), шлюз и DNS роутера и спокойно выходит в инет, хотя доступа к устройству (роутеру) не имеет (веб-морда и все остальные порты), пока не разрешишь в фаерволле, но каким то образом умудряется работать с DNS и шлюзом роутера.
1 answer to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.