CLIENT ISOLATION

[eresiarca]

ho una omnitik a 5Ghz configurata come access point wds bridg e 4 ubiquiti M5 configurate come station wds bridg. il problema sta che se vado ad eseguire un ip scan su qualsiasi station collegandomi con un pc via lan della stessa si vedono tutti i dispositivi sia station che pc collegati all access point.
sull'omnitik ho abilitato anche default authenticate senza nessun esito....

Ciao,

sulla omnitik disabilita il "Default forwarding" situato nel pannello wireless della scheda in questione.
E' un checkbox in basso vicino a "Default authenticate".
Dovrebbe disabilitare il forwarding dei pacchetti da un link all'altro. Ovviamente questa configuerazione limita la comunicazione tra client della stessa scheda radio. Se i tuoi client usano piu' AP allora dei lavorare via firewall.

Saluti.

[claiudio]

Se ho capito bene, stai usando sul mikrotik l'impostazione "wds-mode=dynamic" e "wds-default-bridge=bridge1".
In "/interface bridge port" dovresti allora poter vedere le varie interfacce wdsX create, una per ciascuna ubiquiti che hai collegato.

Se hai _questo_ schema di rete e SE vuoi impedire completamente qualunque comunicazione fra una ubiquiti e l'altra, devi aggiungere una regole di bridge filtering, tipo questa:

Codice: Seleziona tutto

/interface bridge filter
add action=drop chain=forward disabled=no in-bridge=bridge1


Questa regola non impedisce alle varie ubiquiti di comunicare con l'access point e permette loro di navigare SE l'access point è anche il loro gateway.
Se l'AP fa anche bridging fra la wlan e l'ethernet, devi aggiungere ulteriori regole per permettere l'inoltro dalle interfacce wds alla ether1. Ma ti consiglio di far diventare l'AP direttamente il gateway.