Для чего IFACE LAN?

[nikrays]

Случайно не для того чтобы указать перечень сетей или портов на которые распространяются правила zapret. А можно так сделать? Например после запуска zapret, дурение происходило бы только в моей локальной сети, а не на ВПН и гостевую сеть или на какой нибудь порт Лан в принципе? А то получается что применяется ко всему что подключено к роутеру.

[bol-van]

Читайте документацию там все описано по этому поводу. Если вкратце, то IFACE_WAN/OPENWRT_WAN для nfqws IFACE_LAN/OPENWRT_LAN для tpws На портах свитча zapret регулировать нельзя. Для этого придется создавать еще одну сеть со своим ip сегментом (LAN2) и настраивать свитч, потом можно будет рулить. Тоже самое касается разделения на wifi, гостевой wifi и прочее. Нужна IP маршрутизация, никакие мосты софтовые linux или аппаратные switch не могут отдельно рулиться. VPN отсекается для nfqws через IFACE_WAN/OPENWRT_WAN, для tpws отсечение не получится

[nikrays]

Создать ещё одну сеть с сегментом? Так есть уже, это vlan2, как туда запретить использовать запрет?

[bol-van]

Если nfqws, то можно по source IP рулить, но скриптами zapret этого не предусмотрено Либо руками надо с отказом от скриптов, либо писать custom. Причем в custom придется отказываться от POSTNAT схемы, потому что при POSTNAT source IP уже будет инетовский

[yorock999]

А если на роутере на operwrt (Mercusys MR90X) WAN ы совсем удалены? Роутер настроен в режиме свича то что указывать в OPENWRT_WAN ?

[bol-van]

Один интерфейс все равно есть,пусть это и мост И в оригинале такая конфигурация работать не будет. Там надо будет устанавливать модуль br-netfilter