Jest opcja Permit only, dla łączących się wireless. Czy jest też dla tych na kablu? W jaki sposób mogę sprawić, żeby tylko wskazane MAC na kablu miały dostęp do netu, a cała reszta która wpina się na bezczelnego była odcięta?
Probowałem access restriction - blokada wszystkich, ale nie wykombinowałem jak na tą blokadę wszystkich, nałożyć regułę "ważniejszą" mówiącą tego i tego przepuszczaj.
Druga sprawa: zarówno na WRT jak i na Tomato, router za diabła nie chce przyjąć (albo nie chcą mu dać) adresu z DHCP ISP (kablówka). Oczywiście ustawiłem odpowiedni MAC po stronie WAN, i jak ustawię na static, to mnie ISP przepuszcza. Mógłbym tak zostawić ale ISP od czasu do czasu lubi IP zmienić i mocno się wkurza, gdy ktoś ma ustawione stałe. W logu znajduję:
prosta sprawa. Reguly licze od gory czyli w kolejnosci dodawania. Im regula w liscie wyzej tym wazniejsza, czyli regula blokujaca wszystko dajesz ZAWSZ na sam dol.
1. regula przepuszczajaca MACi lub IPki (lepiej MAC), ktore maja miec mozliwosc dostepu do neta (nie zapomnij dodac siebie ). Mam nadzieje, ze wiesz jak ja dodac
2. regula blokujaca wszystko i zawsze.
Problem drugi - niemozliwe, zeby nie dzialalo dynamiczne. BTW z adresu, ktory podajesz widze ze uzywasz ICP jako ISP. Ja jestem rowniez u nich i bez problemow dziala dynamiczne przyznawanie adesu.
A sprawa jest taka, ze tak na prawde dopoki nie zmienisz adresu MAC karty zarejestrowanej w systemie twoj adres IP sie nie zmieni (czyli niejako jest statyczny )
"prosta sprawa" ale, jak dodać regułę przepuszczającą? Jeśli zostawię pusty "block all internet access", a nie dodam żadnego parametru, to reguła zapisuje sie z zaznaczonym "block all internet access". Wymyśliłem że jeśli dodam paramter np. DST PORT UDP 65000 jako jedyną rzecz jaką reguła ma blokować, to praktycznie jest to reguła przepuszczająca, ale to błędne rozumowanie, bo w iptables i tak pojawia się w łańcuchu drop, a nie accept.
Po drugie, reguły na liście są sortowane alfabetycznie wedlug pola Description. Oczywiście probowałem dodawać w kolejności którą proponowałeś, jak również odwrotnie, i ustawiając odpowiednie nazwy reguł tak aby blokująca była na dole (lub odwrotnie) - niestety bez sukcesu: zawsze blokująca była ważniejsza, choć może to wynikać z nieumiejętnego zdefiniowania reguły przepuszczającej (patrz poprzedni akapit)
"Problem drugi - niemozliwe, zeby nie dzialalo dynamiczne" - no niemożliwe, a jednak, wyciąg z logów załączyłem. Sprawdzałem również MAC routera, poprzez sprawdzenie arp w kompie siedzącym w lan, i sie zgadza. Może zrestartuje modem kablowy, może tu leży problem.
Co do zmian IP w ICP, to SĄ zmieniane nawet bez zmiany MAC, tyle że z tego co obserwuję w logu dyndns, nieczęściej niż raz na 3 miesiące.
Jesli chodzi o blokowanie to ponownie prosta sprawa:
1. nadajesz uzyszkodnikowm stale IP w sieci
2. tworzysz 1 regule blokujaca dostep do neta wszystkim adresom IP poza uzywanym w stalych dzierzawach (blokowane kompy podajesz jako zakres np. 192.168.1.2-192.168.1.9 i 192.168.1.15-192.168.1.253) czyli kompy 0d 10 do 15 beda mialy tylko dostep.. I bedzie spokoj.
Jesli chodzi o typ polaczenia to na prwde nei wiem. ICP to dosc dobry provider i dbaja zeby wszystko bylo SI.
A zmiany adresu IP hmm widocznie cos grzebales z adresami MAC. Jestem u nich ponad 2,5 roku i adres IP zmienil mi sie raz jak zmienialem MAC zarejestrowanej karty. Kiedys, dawniej zmieniali czesto IP ale juz odeszli od tej praktyki.
Heh, no zgodzę, się że na IP to prosta sprawa, ale muszę zblokować po MACu - a to już nie tak łatwo wyznaczyć zakres. Pytanie jak wbić regułę przepuszczającą pozostaje otwarte i być może trzeba by je dodać do wishlist tomato. No chyba, że znajdzie się tu jakiś gieroj co ma solution (ale solution przez www tomato, a nie shella!)
IPTABLES pozwala na używanie negacji typu "blokuj z wyjątkiem" lub "przepuszczaj z wyjątkiem" i robi się to poprzez dodanie wykrzyknika przed IP czy MACem, niestety taka konstrukcja nie przechodzi przez tomato.
Napisałem maila w tej sprawie do polarcloud. Dam znać jeśli przyjdzie jakaś odpowiedź.
I jeszcze takie pytanie do Robsonn dotyczące odpowiedzi której udzieliłeś na moje pytanie, czyli drugi post w tym wątku: czy przed wysłaniem tej odpowiedzi, sprawdziłeś czy to tak działa?
Edytowany przez qbota dnia 10-09-2006 17:20
Nie wiem czemu robisz z igieł widły.
Daj mi 1 rozsadny powod aby blokowac koniecznie po MACu to przyznam ci racje i odszczekam swoje
Co za roznica czy bedziesz blokowal po ip czy MAC. I tak jesli ktos podszyje cie pod MAC klienta (a z tym wiadomo zaden problem), ktory moze uzywac neta zostanie przepuszczaony (wyjatkiem jest sytuacja, gdy koles z prawdziwym adresem MAC nie wylacza kompa ) lub robi to rzadko.
Heh, no mówiąc wprost mam tutaj jednego takiego agenta, który to notorycznie podłącza kolejne kompy które do niego trafiają i ściąga service packi i inne cuda na łączną kwotę dobrych kilkuset MB, i robi to co drugi, trzeci dzień w godzinach popołudniowo-wieczornych, doprowadzając resztę userów do białej gorączki. Wiem, że o ile wbicie IP jest w jego zasięgu myślowym, o tyle o możliwości zmiany MACa nie wie, a nawet jeśli się dowie to i tak będzie z tym miał o całe niebo więcej kłopotu, niż z wbiciem IP. Kolo notorycznie udaje głupa, i nie chcę poprzez zablokowanie IP które "złamie", dać mu satysfakcji z wygranej "potyczki"
A z innej beczki powiem tak: Uważam, że funkcjonalność tworzenie reguł przepuszczających może mieć też inne, bardzo przydatne, zastosowania, i dlatego warto wrzucić to do kolejnej wersji pomidora.
Jeslii chodzi o "lamanie" zabezpieczenia ip To jesli zablokujesz cala pule oprocz adresow uzywanych to nie ma mozliwosci zeby sie wbil czy przesmyknal.
A moze chcesz podzielic lacze ? za pomoca skryptu Ustawsz dynamiczny podzial i zalozmy, ze delikwent i tak nigdy nie bedzie maxa wyciagal - co powinno uspokoic siec. Wiesz czasami sam QoS nie pomoze ja np. dziele skryptem bo to pewne i gdy wszyscy siedza kazdy ma swoja czesc pasma i dopiero jak ktos zwolni pasmo reszta zaczyna rozszarpywac jak chieny pozostala czesc wolnego - ale wszystko nadal pod kontrola Jak kolo sie pojawi i znowu sa wszyscy w sieci ponownie kazdy ma swoj przydzial i nikt nikomu w kasze nie dmucha.
Edytowany przez robsonn dnia 10-09-2006 23:00
Ja ci tylko doradzam sposob taki zebys nie bawil sie w kotka i myszke, tylko wpakowal skrypt i mial spokoj. Skoro lubisz wymyslac bardziej zlozone metody (co nie znaczy ze skuteczniejsze) to Twoja decyzja i nic do niej nie mam.
Nic wiecej ciekawego nie wymysle takze I'm out
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
). Mam nadzieje, ze wiesz jak ja dodac 
