Т.е. микрот не является дхцп сервером, и не прописано никаких сетей на нем

Управляющий влан, влан Линка с Л3 и инет. И псё

не он роутит и натит?

Натит

если роутит-натит то заработает

авторизация ведь на страничке будет

как там и кто ип получил - не важно

Роутит чуть чуть - все что в инет - кидает в инет, что в локалку - кидает на Л3, Л3 уже разбирается в какой влан загнать

Понял, буду ковырять

А там только по логин паролю? Типа ваучеров нету?

прочитай пдф

всё там есть

А подскажите пожалуйста, а ещё лучше дайте ссылку на статью: банить веб-ресурсы https по расписанию со списком клиентов. Хочу дитё на ночь отключать ютуб

А подскажите пожалуйста, а ещё лучше дайте ссылку на статью: банить веб-ресурсы https по расписанию со списком клиентов. Хочу дитё на ночь отключать ютуб

Только по ип

И ты уже вроде спрашивал))

Только по ип

А если я куда нибудь сертификат ssl воткну? Там WebProxy позволяет?

И ты уже вроде спрашивал))

Не помню, спрашивал или нет. Про тор спрашивал, помню ))

так браузер матерится будет на сертификат

А если я куда нибудь сертификат ssl воткну? Там WebProxy позволяет?

Вроде нет)

Не парься, сделай адрес лист и всё)

++

так браузер матерится будет на сертификат

Да я блин, даже готов заморочится на корневой сертификат и пихнуть на клиента

Не парься, сделай адрес лист и всё)

клиентский?

Да я блин, даже готов заморочится на корневой сертификат и пихнуть на клиента

Не проще кстати просто вайфай вырубать?)

Не проще кстати просто вайфай вырубать?)

А я сам хочу посидеть с телефонов на вайфае ))

А я сам хочу посидеть с телефонов на вайфае ))

Жук)

Так оставь инеты только себе

Шедулер на включение/выключение правила дропа пакетов от 443 порта?

Ну вообще да, наверное будет проще вырубать вайфайл для клиента...

ip fire - даю наводку

Делаешь листы с именами доменов

Жук)

чо жук то? Мне вайфай для работы нужен )

Делаешь правило для своего гражданина

Шедулерлом включаешь и выключаешь эти правила

а если сам захочешь ночью на ютубчике посидеть? :D реально просто для своего ипа оставляй инет, а дитю всё отрубай

И привязку и разрешение по маку

чо жук то? Мне вайфай для работы нужен )

Сделай себе отдельный ssid)

Сменит мак - не получит ничего

Есть кстати ещё же аксесс листы в int wire

И привязку и разрешение по маку

+

Add arp for leases можно сделать и Статик арп

Господи, нам только дай отрубить чего)))))

Делаешь листы с именами доменов

Не работает для ssl имена доменов. Или ты про другое?

Сделай себе отдельный ssid)

Придётся дублировать тогда, для g и n... Но идея интересная, повесить на скедулер отрубание ssid

По моему самый простой вариант

Себе полную сеть, дитям обрезанную

Не работает для ssl имена доменов. Или ты про другое?

Работает если не hsts

Жопа в том, что надо отрубать после какого то определённого времени часть ресурсов, например - тот же ютубик, но при это оставить телеграм

Работает если не hsts

Не знаю что это

Можно пару вопросов, возможно тупых?

Отрубать весело!

Жопа в том, что надо отрубать после какого то определённого времени часть ресурсов, например - тот же ютубик, но при это оставить телеграм

Стоп стоп

Вру

Зачем гасить Ютуб вечером но оставлять телегу? Наверное чтоб дитё спать ложилось?

чтожб у дитя развивались способности обходить запреты )

Рубить же по ИП будет

:)

мож научится ютуб через телегу

Зачем гасить Ютуб вечером но оставлять телегу? Наверное чтоб дитё спать ложилось?

Там сложная политическая (семейная) обстановка, дитё не родное, отрубать каналы общения с родственником - это как опдливать масло в огонь

Жопа в том, что надо отрубать после какого то определённого времени часть ресурсов, например - тот же ютубик, но при это оставить телеграм

Скорость режь тогда. Пусть он с мегабитом ютубчик посмотрит

Скорость режь тогда. Пусть он с мегабитом ютубчик посмотрит

оооо!! Огонь!

Павел, тогда не режь ничо

64к должно хватить

Со стабильным мегабитом Ютуб можно отлично смотреть:)

Павел, тогда не режь ничо

Если не буду ничего резать - то другой родственник (мать ребёнка) будет выносить мозг мне )

Правда, рубай скорость

ERROR: S client not available

пошел читать как резать скорость

Между двух огней...

Придумал

Вафлю в скрытую сеть, дитю говоришь что сгорел радио модуль

Заменить денег нет, это новое устройство

Потому вафли не будет

пошел читать как резать скорость

Simple queue

Вафлю в скрытую сеть, дитю говоришь что сгорел радио модуль

Днём пусть хоть на голове стоит, главное - что бы вечером дитё само плевалось и отходила от ютуба

тут был кейс как ребенка от онлайн игр отучить. чтоб пакеты раз через раз отбрасывались

С игорами проще - достаточно джиттер вносить

Это да, про джиттер читал, но в игрушки не играет.

Но с ютуба вообще не слезает

тут бы конечно не технические средства.. но это уже оффтоп.

тут бы конечно не технические средства.. но это уже оффтоп.

Портупея:) не этично, зато дешево надёжно и практично:)

Есть кто разбирается в mac-based vlan на chip switch?

Какой new-customer-vid поставить, что бы вообще без тега шло? 0 или 1?

Можно ли его использовать вместе с обычным Port Based VLAN ?

Кротаны, правило запрета выхода в инет игнорится.. ЧЯДНТ?

ты покажи их

0 chain=input action=accept protocol=icmp log=no log-prefix="" 1 chain=input action=accept connection-state=new src-address=172.16.201.0/24 in-interface=ether5-LAN log=no log-prefix="" 2 chain=input action=accept connection-state=established,related log=no log-prefix="" 3 chain=forward action=accept connection-state=established,related log=no log-prefix="" 4 chain=forward action=accept src-address=172.16.201.0/24 in-interface=ether5-LAN out-interface=ether1-WAN log=no log-prefix="" 5 chain=forward action=accept src-address=192.168.0.0/16 in-interface=l2tp-out out-interface=ether5-LAN log=no log-prefix="" 6 chain=forward action=accept dst-address=192.168.0.0/16 in-interface=ether5-LAN out-interface=l2tp-out log=no log-prefix="" 7 chain=forward action=accept dst-address=172.16.0.0/16 in-interface=ether5-LAN out-interface=l2tp-out log=no log-prefix="" 8 chain=forward action=accept src-address=172.16.0.0/16 in-interface=l2tp-out out-interface=ether5-LAN log=no log-prefix="" 9 chain=output action=accept protocol=ipsec-esp log=no log-prefix="" 10 chain=output action=accept protocol=udp out-interface=ether1-WAN dst-port=1701,500,4500 log=no log-prefix="" 11 chain=output action=accept connection-state=!invalid log=no log-prefix="" 12 chain=forward action=drop protocol=tcp src-address=172.16.201.20-172.16.201.29 out-interface=ether1-WAN dst-port=80,443 log=no log-prefix="" 13 chain=forward action=reject reject-with=icmp-network-unreachable log=no log-prefix="" 14 chain=input action=drop in-interface=ether1-WAN log=no log-prefix=""

за номером 12 которое

4 chain=forward action=accept src-address=172.16.201.0/24 in-interface=ether5-LAN out-interface=ether1-WAN log=no log-prefix=""

Я немного тупой, точнее сильно тупой, но кажется 12 должно быть выше?

нуэээээ

наверн, кек

чото да, счас вот подумал, и правда

Я еще тупее тебя, Лерка

товарищи, снова к вопросу о 53им порту снаружи. враг атакует микрот, достаточно закрыть 53ий порт снаружи или дополнительно необходимо насторит блокировку ip зловреда, занося в бан лист?

если заблокирваоть все порты снаружи и открыть доступ по нужным ip ?

это понятно )

вопрос в другом, достаточно ли правил в фаерволе или еще желательно банить ойпи зловреда занося в бан лист?

какой профит от банлиста,