|
[TURTORIAL] Konfiguracja sieci gościnnej (VLAN + multiSSID)
|
| mundeczek |
Dodano 07-10-2017 18:19
|
User
Posty: 5
Dołączył: 25/03/2014 19:23
|
Dzięki za podpowiedź, ale u mnie nie chce zadziałać.
W związku z tym doszedłem do wniosku, ze tam sobie spokój z filtrowaniem skoro zaufani logują się i tak z hasłem, które jest dość skomplikowane 
|
| |
|
|
| evangelion69 |
Dodano 21-10-2017 17:24
|
Power User
Posty: 232
Dołączył: 05/12/2011 22:17
|
A może ktoś zrobi update uwzględniając najnowszą wersję?
Mikrotiki
|
| |
|
|
| KenyBDG |
Dodano 22-12-2017 11:50
|
User
Posty: 94
Dołączył: 20/07/2008 13:08
|
Jak zablokować dostęp do Web GUi z sieci gościnnej ?.
Mam podłączone dwa AP które mają adresy z zakresu 192.168.2.x, niestety z tych adresów można dostać się do web gui routera który jest pod adresem 192.168.2.1
|
| |
|
|
| kille72 |
Dodano 22-12-2017 11:55
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
http://www.linksysinfo.org/index.php?threads/restrict-access-to-web-ui-on-guest-wifi.68385/
|
| |
|
|
| artoor |
Dodano 23-02-2018 22:32
|
User
Posty: 23
Dołączył: 08/02/2010 13:51
|
Panowie, mając taką zawartość iptables:
root@unknown:/tmp/etc# cat iptables
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -d 192.168.2.1/255.255.255.0 -j MARK --set-mark 401
-A PREROUTING -s 192.168.2.1/255.255.255.0 -j MARK --set-mark 501
-I PREROUTING -i vlan2 -j DSCP --set-dscp 0
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:WANPREROUTING - [0:0]
-A PREROUTING -d XXX.XXX.XXX.XXX -j WANPREROUTING #Mniejsza z moim IP :P
-A PREROUTING -i vlan2 -d 192.168.1.1/255.255.255.0 -j DROP
-A PREROUTING -i vlan2 -d 192.168.2.1/255.255.255.0 -j DROP
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
-A POSTROUTING -o vlan2 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o br1 -s 192.168.2.1/255.255.255.0 -d 192.168.2.1/255.255.255.0 -j SNAT --to-source 192.168.2.1
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-N shlimit
-A shlimit -m recent --set --name shlimit
-A shlimit -m recent --update --hitcount 4 --seconds 60 --name shlimit -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br1 -j ACCEPT
-A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
:FORWARD DROP [0:0]
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -m account --aaddr 192.168.2.0/255.255.255.0 --aname lan1
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i br1 -o br1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
:wanin - [0:0]
:wanout - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o br1 -j DROP
-A FORWARD -i br1 -o br0 -j DROP
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i br1 -j ACCEPT
COMMIT
W którym miejscu powinienem wkleić poniższe dwie linijki:
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp -m multiport --dports 53,67 -j ACCEPT
aby z sieci gościnnej nie dało się wejść na GUI Tomato (zarówno na 192.168.1.1, jak i 192.168.2.1)?
W proponowanym powyżej przez kille72 odnośniku wyczytałem, że kolejność ma znaczenie.
No i druga prośba, czy ten wpis dodaję przez putty - za pomocą edytora vi, czy są łatwiejsze sposoby? :)
|
| |
|
|
| kille72 |
Dodano 24-02-2018 11:26
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp -m multiport --dports 53,67 -j ACCEPT
Wklej je do Firewall https://192.168.1.1/admin-scripts.asp i restart routera.
|
| |
|
|
| artoor |
Dodano 25-02-2018 17:50
|
User
Posty: 23
Dołączył: 08/02/2010 13:51
|
Dziękuję! Działa jak marzenie 
|
| |
|
|
| Boveer |
Dodano 01-06-2019 09:56
|
User
Posty: 6
Dołączył: 15/12/2016 11:37
|
Mam pytanie. Wszystko śmiga, ale w głównej sieci br0 mam włączoną filtrację po MAC, przypisane do nich IP i zaznaczone ignorowanie żądań dhcp z nieznanych źródeł. Wtedy sieć gości br1 nie działa (dopiero jak wylacze filtracje). Czy można br0 zostawić tak jak mam a w sieci gosci ustawic bez filtracji itd ?
|
| |
|
|
| Obserwator |
Dodano 27-10-2019 11:17
|
User
Posty: 101
Dołączył: 30/03/2016 11:01
|
Takie pytanie
Mam taka konfiguracje i chciałem odizolowac gosci czy to zadziała i jak to powinno byc?
Router Asus z Modemem Huawei w usb (pełni funkcje routera)->>>kabel lan do Tp link z DDWRT (Tp link wysyła WiFi). Tplink najtanszy z dwoma antenami 2,4 GHz. Asus to RT-N10U. Tp link to bramka a adresy ip przydziela Asus. Izolacje gosci na Asusie wystarczy zrobic? Czy bedzie to działać? Chodzi aby nie podłapac dziadostwa. Gdzie i jak ustawic aby kazdy z gosci dostawał z automatu max 500 kbps (mam internet po LTE) a chodzi o to, aby goście nie bawili sie telefonami.
|
| |
|
|
| Fifiel |
Dodano 18-04-2020 21:14
|
User
Posty: 50
Dołączył: 02/01/2013 15:11
|
Czy na WNR3500L da się zrobić więcej jak 2 SSID? Próbuję zrobić 3 SSID i wyświetla mi ostrzeżenie, że na SSID 3 (wl0.2) używany jest MAC głównego SSID czyli wth1 (wl0). na SSID 2 (wl0.1) działa wszystko poprawnie i MAC używany ten co się wylosował. Dodam, że po wyłączeniu wl0.1 MAC dla wl0.2 jest poprawny, mimo to nie da się połączyć do tej sieci, wyświetla się komunikat nie można się połączyć z tą siecią... Wszystko zrobiłem zgodnie z tutorialem, mimo to nie działa.
Edytowany przez Fifiel dnia 18-04-2020 21:29
|
| |
|
|
| rafalhammer |
Dodano 27-11-2020 19:09
|
User
Posty: 4
Dołączył: 14/09/2012 10:03
|
Teraz router mam ustawiony jako WiFi access point zgodnie z opisem ze strony https://blog.ostermiller.org/configuring-second-router-wifi-access-point-using-tomato-shibby/. W skrócie oznacza to, że WAN jest disabled tak samo jak DHCP.
Chciałbym dodać do tego jeszcze jedno WiFi tak jak to jest opisane w tym tutorialu. Jak obie sieci wi-fi są na br0 to internet jest w obu ale jak robię to zgodnie z tutorialem to ta dla gości nie ma dostępu do Internetu.
Netgear WNR3500L v1
Netgear WNR3500L v2
Netgear WNDR4500
|
| |
|
' target='_blank'>Link
