Dwie sieci WLAN i kontrola dostępu
|
cek149 |
Dodano 07-06-2017 12:57
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Mam działające dwie sieci WLAN. Jedna przeznaczona dla domowników LAN + WLAN : 192.168.1.x, druga przeznaczona dla gości WLAN : 192.168.2.x.
Założenia sieci domowników :
1) wszyscy dołączeni kablem LAN
2) wszyscy dołączeni WLAN (mocne, trudne hasło)
Założenia sieci gościnnej WLAN :
1) wszyscy znający hasło WLAN (łatwe do wprowadzenia)
2) wykluczone wszystkie urządzenia domowników - kompy, tablety, telefony (ale tego nie umiem zrobić)
Nie chcę gości w sieci LAN domowej i przed tym broni trudne hasło do WLAN, ale też nie chcę domowników w sieci WLAN gościnnej.
Domownicy, idąc na łatwiznę wbijają łatwe hasło do sieci gościnnej i tyle z jest z tych założeń. Ludzie przeważnie robią to co jest im łatwiej.
Stąd moje pytanie:
jak wykluczyć, zabronić dostępu urządzeniom (MAC adresom) domowników w sieci WLAN gości ?
Tomato v137. |
|
|
|
djwujek |
Dodano 07-06-2017 13:15
|
Maxi User
Posty: 861
Dołączył: 29/07/2011 00:09
|
Jedyne co mi przychodzi do głowy to regułki iptables poczytaj w necie na ten temat
---- SIEĆ 1 -----
1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W
------ SIEĆ 2 -------
1.Modem Livebox 3.0
|
|
|
|
cek149 |
Dodano 07-06-2017 14:26
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Czytałem, próbowałem znaleźć i też mi się wydaje, że to jedyna droga, ale sam nie jestem na tyle biegły żeby takie regułki stworzyć.
Jeśli to jedyna droga, to może ktoś podrzuci przykładową, a ja ją spróbuję dostosować do swoich potrzeb.
Połączony z 07 czerwiec 2017 15:40:26:
Znalazłem coś takiego :
iptables -I INPUT -p tcp -m mac ! --mac-source 01:02:03:04:05:06 -j REJECT
ale nie chcę całkiem wywalić urządzenie z sieci, tylko z WLAN gości.
Edytowany przez cek149 dnia 07-06-2017 15:40
|
|
|
|
maxikaaz |
Dodano 07-06-2017 17:18
|
Super User
Posty: 546
Dołączył: 03/11/2006 23:04
|
W DD-WRT jest filtr MAC do każdego WLAN niezależnie.
WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
|
|
|
|
djwujek |
Dodano 07-06-2017 17:20
|
Maxi User
Posty: 861
Dołączył: 29/07/2011 00:09
|
https://superuser.com/questions/254774/home-network-to-accept-only-certain-mac-addresses-from-lan
Zamiast eth1 wstaw nazwe swojego interfejsu wifi i allow to dopusc block to blokuj
---- SIEĆ 1 -----
1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W
------ SIEĆ 2 -------
1.Modem Livebox 3.0
|
|
|
|
cek149 |
Dodano 08-06-2017 11:08
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Niestety nie działa mi.
Wpisuję w Administration > Scripts > Firewall :
iptables -A INPUT -i lan1 -m --mac-source xx:xx:xx:xx:xx:xx -j DROP
albo :
iptables -A INPUT -i wl0.1 -m --mac-source xx:xx:xx:xx:xx:xx -j DROP
następnie Reboot i odczytuję w Tools > System Commands poleceniem iptables -L
W listingu "Chain INPUT" nie ma mojego wpisu, a mój telefon, który chciałem na próbę blokować w WLAN gości dalej się podłącza do WLAN gości.
Dodam, że w Administration > Scripts > Firewall mam inny wpis :
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
który wpisuje się poprawnie i działa.
Proszę, pomóżcie, zdawało by się, prosta sprawa, a jest problem.
Jeśli mogę, to mam sugestię do Shibby'ego, może dało by się rozwinąć Basic > Wireless Filter tak, by ustawiać filtrowanie indywidualnie dla każdej z sieci WLAN.
Przy okazji, podziękowania i szacunek dla Shibby'ego. |
|
|
|
hermes-80 |
Dodano 08-06-2017 15:13
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
ebtables spróbuj - to jest zarządzanie ruchem w warstwie drugiej na switchu - tak jak byś maił zarządzany switch.
Sam testowałem to na Tomato i działa blokada po MAC (jak wiadomo switch działa na 2 warstwie sieciowej.
Pokaż wynik komendy: brctl show
Połączony z 08 czerwiec 2017 15:32:19:
Innym rozwiązaniem jest za pomocą konfiguracji DHCP (tutek) przypisać konkretnym MAC-ą fake parametry sieci - podsieć, bramke, dns-y
Edytowany przez hermes-80 dnia 08-06-2017 15:32
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
cek149 |
Dodano 09-06-2017 13:09
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
root@Ruter:/tmp/home/root# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.10bf48e69b24 no eth1
vlan1
br1 8000.12bf48e69b27 no wl0.1
root@RuterWawa:/tmp/home/root# |
|
|
|
hermes-80 |
Dodano 09-06-2017 13:47
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
iptables -I INPUT -m mac --mac-source TE:KP:HA:SE:R8:60 -j DROP
Sorbuj tego -I zamiast -A jak by co.
Dokumentacja ebtables:
[url]http://ebtables.netfilter.org/misc/ebtables-man.html
[/url]
http://ebtables.netfilter.org/example...l#example2
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
cek149 |
Dodano 09-06-2017 14:03
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Rzeczywiście, znalazłem w necie, że do filtrowania MAC adresów służy ebtables.
Wpisałem w PuTTY :
ebtables -A INPUT -i wl0.1 -d xx:xx:xx:xx:xx:xx -j DROP
wpisałem również :
ebtables -A INPUT -i br1 -d xx:xx:xx:xx:xx:xx -j DROP
w efekcie jest :
root@RuterWawa:/tmp/home/root# ebtables -L
Bridge table: filter
Bridge chain: INPUT, entries: 3, policy: ACCEPT
-d xx:xx:xx:xx:xx:xx -i wl0.1 -j DROP
-d xx:xx:xx:xx:xx:xx -i br1 -j DROP
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
root@RuterWawa:/tmp/home/root#
i nic, telefon dalej podłącza się do wl0.1, czyli do sieci gościnnej.
cek149 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
|
|
|
hermes-80 |
Dodano 09-06-2017 14:42
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
EBTABLES
WNR3500L v1 Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB miniVPN
W Adminstration Firewall
#ładuje moduły:
insmod ebtables
insmod ebtable_filter
insmod ebt_ip
#teraz reguła:
ebtables -I INPUT -i vlan1 -s B4:6D:83:C6:BD:71 -j DROP
u ciebie -i wl0.1 i inny MAC - to raczej jasne
moduły dla ARM-a mogą mieć inna nazwę
Telefon się podłączy do sieci ale nie będzie miał dostępu do neta bo jego pakiety zostaną zablokowane na interfejsie wl0.1
Wyświetlanie reguł:
ebtables -L
usuwanie reguł:
ebtables -I INPUT -i vlan1 -s B4:6D:83:C6:BD:71 -j DROP
zamieniamy I na D
Połączony z 09 czerwiec 2017 15:01:12:
Oczywiście testować sobie możesz na żywo wpisując w konsole odpowiednie łańcuchy - akcja dzieje się w czasie rzeczywistym
Edytowany przez hermes-80 dnia 09-06-2017 15:01
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
cek149 |
Dodano 10-06-2017 11:04
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Wpisałem w PuTTY :
ebtables -I INPUT -i wl0.1 -s xx:xx:xx:xx:xx:xx -j DROP
po ebtables -L wpis jest w tabeli INPUT
i nic, telefon dołącza się do WLAN gości i domowej, na obu sieciach również otwierają się strony, czyli nie działa, wpis nie wnosi żadnych zmian w działaniu telefonu.
Nie przypuszczałem, że to będzie aż tak duży problem, tym bardziej, że maxikaaz pisze wcześniej :
"W DD-WRT jest filtr MAC do każdego WLAN niezależnie."
chyba i Tomato i DD-WRT są, że tak powiem, z tego samego pnia.
To w takim razie, jakimi wpisami w DD-WRT skutkuje filtrowanie po MAC w konkretnym WLAN ?
Może ktoś mógł by to sprawdzić ? |
|
|
|
hermes-80 |
Dodano 10-06-2017 12:28
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Model routera? Sprawdzałeś czy wszystkie moduły ci się załadowały poprawnie? U mnie to działa na wersji 130 jak i na 140.
Połączony z 10 czerwiec 2017 12:54:44:
Specjalnie zrobiłem wirtualny interfejs:
[root@Tomato root]$ brctl show
bridge name bridge id STP enabled interfaces
br0 8000.e091f5eafb78 no eth1
vlan1
br1 8000.e291f5eafb7b no wl0.1
Działa blokowanie MAC - adresu po INPUT jak i PREROUTING
Połączony z 10 czerwiec 2017 13:03:09:
Cytat hermes-80 napisał(a):
Model routera? Sprawdzałeś czy wszystkie moduły ci się załadowały poprawnie? U mnie to działa na wersji 130 jak i na 140.
Połączony z 10 czerwiec 2017 12:54:44:
Specjalnie zrobiłem wirtualny interfejs:
[root@Tomato root]$ brctl show
bridge name bridge id STP enabled interfaces
br0 8000.e091f5eafb78 no eth1
vlan1
br1 8000.e291f5eafb7b no wl0.1
Działa blokowanie MAC - adresu po INPUT jak i PREROUTING
W którejś wersji Tomato były skopane VLAN-y - uaktualnij wersje.
Edytowany przez hermes-80 dnia 10-06-2017 13:03
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
cek149 |
Dodano 10-06-2017 14:36
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Tomato Firmware 1.28.0000 MIPSR2-137 K26 USB AIO
Name Ruter
Model Asus RT-N16
Chipset Broadcom BCM4716 chip rev 1 pkg 10
CPU Freq 480MHz
Flash Size 32MB
root@Ruter:/tmp/home/root# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.10bf48e69b24 no eth1
vlan1
br1 8000.12bf48e69b27 no wl0.1
W załączniku screen z DD-WRT z filtrowania WLAN po MAC adresach, jak to działa ? jakie wpisy generuje ?
Połączony z 11 czerwiec 2017 16:23:02:
RT-N16, Tomato v137 AIO
Sukces, udało się.
Nie wiem czemu wcześniej nie działało, ale teraz działa.
Wpis w Administration > Scrips > Firewall :
iptables -I INPUT -i br1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
wyklucza urządzenie w sieci wl0.1
Dziękuję wszystkim za pomoc, temat można zamknąć.
cek149 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez cek149 dnia 11-06-2017 16:23
|
|
|
|
Marco76 |
Dodano 12-06-2017 21:48
|
Super User
Posty: 433
Dołączył: 08/03/2007 19:47
|
Nie wiem czy to okaże się pomocne, ale taka jedna mała uwaga odnośnie reguł znajdowanych w necie i stosowania ich w Tomato: większość poradników dotyczy serwerów wystawionych publicznie i tam rzeczywiście w iptables reguły ustala się w INPUT, Tomato jednak służy transferowi pakietów,więc ja bym reguły zakładał dla FORWARD, bo INPUT dotyczy raczej dostępu do samego routera.
[small] Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot
|
|
|
|
cek149 |
Dodano 13-06-2017 11:58
|
User
Posty: 13
Dołączył: 23/02/2014 14:15
|
Marco76, też o tym myślałem, ale w końcu doszedłem do wniosku, że zależy mi na tym, by wskazane urządzenia po MAC adresie wykluczyć całkowicie z jakiejkolwiek transmisji w tym konkretnym WLAN, więc chyba reguły w tabeli INPUT są najlepszym miejscem dla tego przypadku.
RT-N16, Tomato
|
|
|