24 Listopada 2024 18:11:09
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· Nowe routery: UX, UC...
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [10]
· Nowe routery: UX,... [0]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.17.166.157
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Dwie sieci WLAN i kontrola dostępu
cek149
Mam działające dwie sieci WLAN. Jedna przeznaczona dla domowników LAN + WLAN : 192.168.1.x, druga przeznaczona dla gości WLAN : 192.168.2.x.
Założenia sieci domowników :
1) wszyscy dołączeni kablem LAN
2) wszyscy dołączeni WLAN (mocne, trudne hasło)
Założenia sieci gościnnej WLAN :
1) wszyscy znający hasło WLAN (łatwe do wprowadzenia)
2) wykluczone wszystkie urządzenia domowników - kompy, tablety, telefony (ale tego nie umiem zrobić)

Nie chcę gości w sieci LAN domowej i przed tym broni trudne hasło do WLAN, ale też nie chcę domowników w sieci WLAN gościnnej.
Domownicy, idąc na łatwiznę wbijają łatwe hasło do sieci gościnnej i tyle z jest z tych założeń. Ludzie przeważnie robią to co jest im łatwiej.
Stąd moje pytanie:
jak wykluczyć, zabronić dostępu urządzeniom (MAC adresom) domowników w sieci WLAN gości ?

Tomato v137.
 
djwujek
Jedyne co mi przychodzi do głowy to regułki iptables poczytaj w necie na ten temat
---- SIEĆ 1 -----

1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W

------ SIEĆ 2 -------
1.Modem Livebox 3.0
 
cek149
Czytałem, próbowałem znaleźć i też mi się wydaje, że to jedyna droga, ale sam nie jestem na tyle biegły żeby takie regułki stworzyć.
Jeśli to jedyna droga, to może ktoś podrzuci przykładową, a ja ją spróbuję dostosować do swoich potrzeb.

Połączony z 07 czerwiec 2017 15:40:26:
Znalazłem coś takiego :

iptables -I INPUT -p tcp -m mac ! --mac-source 01:02:03:04:05:06 -j REJECT

ale nie chcę całkiem wywalić urządzenie z sieci, tylko z WLAN gości.
Edytowany przez cek149 dnia 07-06-2017 15:40
 
maxikaaz
W DD-WRT jest filtr MAC do każdego WLAN niezależnie.
WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
 
djwujek
https://superuser.com/questions/254774/home-network-to-accept-only-certain-mac-addresses-from-lan

Zamiast eth1 wstaw nazwe swojego interfejsu wifi i allow to dopusc block to blokuj
---- SIEĆ 1 -----

1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W

------ SIEĆ 2 -------
1.Modem Livebox 3.0
 
cek149
Niestety nie działa mi.
Wpisuję w Administration > Scripts > Firewall :
iptables -A INPUT -i lan1 -m --mac-source xx:xx:xx:xx:xx:xx -j DROP
albo :
iptables -A INPUT -i wl0.1 -m --mac-source xx:xx:xx:xx:xx:xx -j DROP
następnie Reboot i odczytuję w Tools > System Commands poleceniem iptables -L
W listingu "Chain INPUT" nie ma mojego wpisu, a mój telefon, który chciałem na próbę blokować w WLAN gości dalej się podłącza do WLAN gości.
Dodam, że w Administration > Scripts > Firewall mam inny wpis :
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
który wpisuje się poprawnie i działa.
Proszę, pomóżcie, zdawało by się, prosta sprawa, a jest problem.

Jeśli mogę, to mam sugestię do Shibby'ego, może dało by się rozwinąć Basic > Wireless Filter tak, by ustawiać filtrowanie indywidualnie dla każdej z sieci WLAN.
Przy okazji, podziękowania i szacunek dla Shibby'ego.
 
hermes-80
ebtables spróbuj - to jest zarządzanie ruchem w warstwie drugiej na switchu - tak jak byś maił zarządzany switch.
Sam testowałem to na Tomato i działa blokada po MAC (jak wiadomo switch działa na 2 warstwie sieciowej.

Pokaż wynik komendy: brctl show

Połączony z 08 czerwiec 2017 15:32:19:
Innym rozwiązaniem jest za pomocą konfiguracji DHCP (tutek) przypisać konkretnym MAC-ą fake parametry sieci - podsieć, bramke, dns-y
Edytowany przez hermes-80 dnia 08-06-2017 15:32
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149

root@Ruter:/tmp/home/root# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.10bf48e69b24       no              eth1
                                                        vlan1
br1             8000.12bf48e69b27       no              wl0.1
root@RuterWawa:/tmp/home/root#
 
hermes-80
iptables -I INPUT -m mac --mac-source TE:KP:HA:SE:R8:60 -j DROP

Sorbuj tego -I zamiast -A jak by co.
Dokumentacja ebtables:
[url]http://ebtables.netfilter.org/misc/ebtables-man.html
[/url]
http://ebtables.netfilter.org/example...l#example2
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149
Rzeczywiście, znalazłem w necie, że do filtrowania MAC adresów służy ebtables.

Wpisałem w PuTTY :
ebtables -A INPUT -i wl0.1 -d xx:xx:xx:xx:xx:xx -j DROP
wpisałem również :
ebtables -A INPUT -i br1 -d xx:xx:xx:xx:xx:xx -j DROP

w efekcie jest :

root@RuterWawa:/tmp/home/root# ebtables -L
Bridge table: filter

Bridge chain: INPUT, entries: 3, policy: ACCEPT
-d xx:xx:xx:xx:xx:xx -i wl0.1 -j DROP
-d xx:xx:xx:xx:xx:xx -i br1 -j DROP

Bridge chain: FORWARD, entries: 0, policy: ACCEPT

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
root@RuterWawa:/tmp/home/root#

i nic, telefon dalej podłącza się do wl0.1, czyli do sieci gościnnej.
cek149 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
 
hermes-80
EBTABLES
WNR3500L v1 Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB miniVPN


W Adminstration Firewall

#ładuje moduły:
insmod ebtables
insmod ebtable_filter
insmod ebt_ip

#teraz reguła:
ebtables -I INPUT -i vlan1 -s B4:6D:83:C6:BD:71 -j DROP


u ciebie -i wl0.1 i inny MAC - to raczej jasne Wink
moduły dla ARM-a mogą mieć inna nazwę

Telefon się podłączy do sieci ale nie będzie miał dostępu do neta bo jego pakiety zostaną zablokowane na interfejsie wl0.1

Wyświetlanie reguł:
ebtables -L

usuwanie reguł:
ebtables -I INPUT -i vlan1 -s B4:6D:83:C6:BD:71 -j DROP

zamieniamy I na D

Połączony z 09 czerwiec 2017 15:01:12:
Oczywiście testować sobie możesz na żywo wpisując w konsole odpowiednie łańcuchy - akcja dzieje się w czasie rzeczywistym Wink
Edytowany przez hermes-80 dnia 09-06-2017 15:01
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149
Wpisałem w PuTTY :
ebtables -I INPUT -i wl0.1 -s xx:xx:xx:xx:xx:xx -j DROP

po ebtables -L wpis jest w tabeli INPUT

i nic, telefon dołącza się do WLAN gości i domowej, na obu sieciach również otwierają się strony, czyli nie działa, wpis nie wnosi żadnych zmian w działaniu telefonu.

Nie przypuszczałem, że to będzie aż tak duży problem, tym bardziej, że maxikaaz pisze wcześniej :
"W DD-WRT jest filtr MAC do każdego WLAN niezależnie."
chyba i Tomato i DD-WRT są, że tak powiem, z tego samego pnia.

To w takim razie, jakimi wpisami w DD-WRT skutkuje filtrowanie po MAC w konkretnym WLAN ?
Może ktoś mógł by to sprawdzić ?
 
hermes-80
Model routera? Sprawdzałeś czy wszystkie moduły ci się załadowały poprawnie? U mnie to działa na wersji 130 jak i na 140.

Połączony z 10 czerwiec 2017 12:54:44:
Specjalnie zrobiłem wirtualny interfejs:
[root@Tomato root]$ brctl show

bridge name     bridge id               STP enabled     interfaces
br0             8000.e091f5eafb78       no                  eth1
                                                            vlan1
br1             8000.e291f5eafb7b       no                  wl0.1


Działa blokowanie MAC - adresu po INPUT jak i PREROUTING

Połączony z 10 czerwiec 2017 13:03:09:

Cytat

hermes-80 napisał(a):

Model routera? Sprawdzałeś czy wszystkie moduły ci się załadowały poprawnie? U mnie to działa na wersji 130 jak i na 140.

Połączony z 10 czerwiec 2017 12:54:44:
Specjalnie zrobiłem wirtualny interfejs:
[root@Tomato root]$ brctl show

bridge name     bridge id               STP enabled     interfaces
br0             8000.e091f5eafb78       no                  eth1
                                                            vlan1
br1             8000.e291f5eafb7b       no                  wl0.1


Działa blokowanie MAC - adresu po INPUT jak i PREROUTING


W którejś wersji Tomato były skopane VLAN-y - uaktualnij wersje.
Edytowany przez hermes-80 dnia 10-06-2017 13:03
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149
Tomato Firmware 1.28.0000 MIPSR2-137 K26 USB AIO

Name Ruter
Model Asus RT-N16
Chipset Broadcom BCM4716 chip rev 1 pkg 10
CPU Freq 480MHz
Flash Size 32MB


root@Ruter:/tmp/home/root# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.10bf48e69b24       no              eth1
                                                        vlan1
br1             8000.12bf48e69b27       no              wl0.1


W załączniku screen z DD-WRT z filtrowania WLAN po MAC adresach, jak to działa ? jakie wpisy generuje ?

Połączony z 11 czerwiec 2017 16:23:02:
RT-N16, Tomato v137 AIO

Sukces, udało się.
Nie wiem czemu wcześniej nie działało, ale teraz działa.

Wpis w Administration > Scrips > Firewall :
iptables -I INPUT -i br1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
wyklucza urządzenie w sieci wl0.1

Dziękuję wszystkim za pomoc, temat można zamknąć.
cek149 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.

Edytowany przez cek149 dnia 11-06-2017 16:23
 
Marco76
Nie wiem czy to okaże się pomocne, ale taka jedna mała uwaga odnośnie reguł znajdowanych w necie i stosowania ich w Tomato: większość poradników dotyczy serwerów wystawionych publicznie i tam rzeczywiście w iptables reguły ustala się w INPUT, Tomato jednak służy transferowi pakietów,więc ja bym reguły zakładał dla FORWARD, bo INPUT dotyczy raczej dostępu do samego routera.
[small]Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot
 
cek149
Marco76, też o tym myślałem, ale w końcu doszedłem do wniosku, że zależy mi na tym, by wskazane urządzenia po MAC adresie wykluczyć całkowicie z jakiejkolwiek transmisji w tym konkretnym WLAN, więc chyba reguły w tabeli INPUT są najlepszym miejscem dla tego przypadku.
RT-N16, Tomato
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 87

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,601,756 unikalnych wizyt