Всем привет!
Предположим есть роутер на *nix в нем есть три интерфейса. На LAN и WIFI настроены по сервису DHCP раздающие IP-адреса клиентам этих сетей
WAN - PPPoE
LAN - 192.168.1.0/24
WIFI - 10.10.132.0/24
Интернет нужен в сетях LAN и WIFI, но сеть WIFI не должна видеть сеть LAN. Тоесть:пакеты из сети WIFI не могут быть переданы в сеть LAN, даже если клиент в сети WIFI пропишет себе руками IP адрес из сети LAN.
Проще всего конечно iptables, простое правило типа такого решает:
iptables -A Forward -d WIFI -s LAN -j DROP
Или все таки тегировать порты? тогда все клиенты подключенные к сетям WIFI и LAN не будут видеть друг друга ни при каких обстоятельствах. типа так:
WAN - TAG 11,12
LAN - TAG 11
WIFI - TAG 12
Какой способ правельнее? Как организовать такую схему? Что использовать TAG? Роутинг? IPTables?
P.S.: роутер на *nix скорее всего mikrotik 750 :)