Есть ли решение? Да, есть.
Должны ли вы сделать это таким образом? Точно нет.
Если я правильно понял, у вас есть эта настройка (для простоты только с одной точкой доступа)
Internet(I)
|
Router(R) ---- AccessPoint(AP) ---- ThePublic(P)
|
Some other LAN devices(L)
И прямо сейчас вы как-то логически гарантируете, что P не может получить доступ к L или I, а только к другим P? И поскольку P имеет физический доступ к AP, вы хотите предотвратить то, что происходит, P нажимает кнопку сброса.
Проблема в том, что кто-то с физическим доступом к точке доступа может просто вытащить кабель и подключиться напрямую к вашей сети и атаковать его. Таким образом, выполнение некоторой умной конфигурации на AP не помогает.
То, что вы хотите, это настройка, где маршрутизатор управляет тем, кто может получить доступ к тому, что в вашей сети. (при условии, что P не может физически получить доступ к R)
Есть несколько возможностей для достижения безопасности здесь. Один будет использовать VLAN. Таким образом, установка каждого порта R, к которому подключена точка доступа, относится к какой-либо конкретной VLAN (порт доступа). Это не будет работать, если AP будет выполнять маркировку VLAN, потому что тогда злоумышленник может попытаться пометить свои собственные пакеты для принадлежности к другой VLAN. Это будет называться магистральным портом.
Вы можете использовать это руководство в качестве учебного пособия по VLAN: http://www.smallnetbuilder.com/lanwan/lanwan-howto/30071-vlan-how-to-segmenting-a-small-lan
