cisco, mikrotik, ubiquiti — простая задача, где проще?

хз как в CISCO и Ubiquiti, но в Mikrotik всё просто

но в Mikrotik всё просто

Всё просто, но на форуме микротика мне уже третьи сутки гуру предлагают уже 5-е, но так же не работающее решение.

Кроме того, аналогичные просьбы подсказать как настроить в более ранних топиках просто остаются без ответа, на вики этого нет, нигде этого нет.

Роутер: hEX PoE и hEX PoE Lite, License Level 4, дефолтная конфигурация, свежайший routeros.

Подскажи пожалуйста, каким ты видишь решение этой простой задачи?

работало только по локальной сети (192.168.0.*)

я тебе уже предложил работающее решение — ты его полностью игноришь.
указал тебе, что у тебя подсеть не 192.168.0.* а 192.0.0.0/8 что занимает все три октета. (192.*.*.* раз тебе со звёздочками понятно) — ты игноришь.
указал тебе, что в настройках маскарад без ограничений, и нужны ограничения. либо подсети, либо номер порта. — ты игноришь.
да нафиг. возможно лучший вариант выхода из этой ситуации — заигнорить тебя.

Подожди, подожди, я практически настроил как ты сказал, но еще соображаю, как настроить так, чтобы было как у тебя, я сообщу результат в том треде.

Этот тред про то, где сделать это проще и быстрее для людей не среднего ума, простых обывателей, купивших или планирующих купить качественный роутер для дома/производства.

«качество» никак не связанно с твоим вопросом. твой вопрос можно сформулировать как:

«какая роутерная ОС даёт пользователю абстракцию над понятием masquerade»

ответ: никакая из перечисленных.

[Xочу, чтобы] любое устройство, с любым MAC-адресом, любым ip, с любым чем угодно, подключенное в физический порт №4 — работало только по локальной сети (192.168.0.*) и не могло ни принимать, ни посылать пакеты в интернет.

Никаких десятков правил для фаерволов, никаких фильтров, vlan'ов, подсетей, путаницы с бриджами, никаких списков устройств по ip и MAC

«Я хочу решить задачу, но не хочу пользоваться ни одним из инструментов, с помощью которых эта задача решается» — так, что ли? Ты либо трусы сними, либо крестик надень.

Этот тред про то, где сделать это проще и быстрее для людей не среднего ума, простых обывателей, купивших или планирующих купить качественный роутер для дома/производства.

Тогда, как ни странно, в LEDE. Графический файрвол есть только у них.

Тебе еще в прошлом треде говорили, что надо бить на вланы.
Кроме того, у тебя все перепутано - L2 и L3, в частности.
Ты хочешь L3 изоляцию (т.е. по адресам) по признакам L2 (т.е. по канальному уровню), это by design не очень-то предусмотрено, только разнообразными костылями.

Кури модель OSI, поймешь, насколько абсурдную штуку ты придумал.
Проще всего сделать двойной NAT с отдельной зоной адресов для 4 порта, которая будет доступна из/в локалки, но которую не будет роутить наружу роутер.

Тогда, как ни странно, в LEDE. Графический файрвол есть только у них.

Еще pfsense/opnsense

Да, точно.

Ты хочешь L3 изоляцию (т.е. по адресам) по признакам L2 (т.е. по канальному уровню)

А как же ebtables и аналоги?

Графический файрвол

это типо такого? https://i.imgur.com/coK3ABT.png

А как же ebtables и аналоги?

Костыли же. Оно умеет фильтрацию источника по vlan?

В смысле с тегированными пакетами?

man ebtables:

vlan

Specify 802.1Q Tag Control Information fields. The protocol must be specified as 802_1Q (0x8100).
--vlan-id [!] id
The VLAN identifier field (VID). Decimal number from 0 to 4095.
--vlan-prio [!] prio
The user priority field, a decimal number from 0 to 7. The VID should be set to 0 («null VID») or unspecified (in the latter case the VID is deliberately set to 0).
--vlan-encap [!] type
The encapsulated Ethernet frame type/length. Specified as a hexadecimal number from 0x0000 to 0xFFFF or as a symbolic name from /etc/ethertypes.

Да хоть тэгированный, хоть нетэгированный.
Оно сможет хотя бы отмаркировать пакеты, чтобы iproute2 их смог дропать?

Ну вот и ответ для ТСа тогда.
Отрезаем вланом 4 порт, фильтруем его ebtables'ом.
И я сомневаюсь, что это можно сделать чем-то, отличным от голого линукса или OpenWRT/LEDE. По крайней мере, в его бюджете.

фильтрация на канальном уровне

iproute2

Либо я чего-то не понимаю, либо одно из двух.

У тиков тоже есть bridge filters.

Меня немного переклинило, я забыл, что у ТС ebtables живет на том же девайсе, что и роутит всю сетку :)

Тем более, вон, у него готовое искаробочное решение. Чего он нам мозг выносит? :)

и в RouterOS

На компе, подключенному к порту 4, пропиши статичный IP без указания шлюза.

Туда подключен не комп, а свитч с десятками камер и китайских плат.

Проще с тем, чем умеешь пользоваться. Взрослей уже

В предыдущих топиках тебе все уже сказали что делать, но т.к. тебе нужно

Никаких десятков правил для фаерволов, никаких фильтров, vlan'ов, подсетей, путаницы с бриджами, никаких списков устройств по ip и MAC, просто возможность быстрого и простого

то тебе дорога либо в буквари по устройству сетей, либо в раздел Job.

Никаких десятков правил для фаерволов, никаких фильтров, vlan'ов, подсетей

прости, там всего два правила, masquerade на W и drop по source interface. где проще хз, решение во всех случаях весьма топорное

Cisco это умеет ЛЕГКО. По поводу проще... не уверен. Кому как. Я , например, про другие не знаю. Цена у КИСКИ будет- мама не горюй!:-)

Дефицит йода жи.

Короче, признаю, я реально обдристался и напердел, ничего сложного в настройке нет — если знать как настраивать.

Но это конечно не для средних умов, типа купил качественный роутер и нажал кнопку, пусть даже софтварную, ну не предоставляют такие услуги и ладно, уверен, что когда-нибудь запилят, почему нет, удобнее же будет.

а зачем дропать ипроутом? ebtables сам на ура дропает. и ему можно указать как порт бриджа (сорс/дест), так и ip источника/получателя (включая подсеть). и да, маркировать тоже умеет.

read this

цена будет в зависимости от ископаемости. какие-то 8хх/17хх/18хх вообще за копейки на помойках продаются.

На любом коммутаторе с поддержкой private vlan можно сделать. Порты 1-3 promiscuous, а порты W и 4 в разные secondary community.