29 Marca 2024 14:12:33
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [MOD] Tomato64 (x86-64)
· [Howto] Xpenology na...
· [MOD] FreshTomato-AR...
· Optware na CIFS
· RT-AX56U - Status kl...
· Asus TUF-AX3000_V2 p...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [869]
· [MOD] Tomato64 (x... [28]
· [Howto] Xpenology... [15]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.237.44.242
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Dwie sieci WLAN i kontrola dostępu
cek149
Mam działające dwie sieci WLAN. Jedna przeznaczona dla domowników LAN + WLAN : 192.168.1.x, druga przeznaczona dla gości WLAN : 192.168.2.x.
Założenia sieci domowników :
1) wszyscy dołączeni kablem LAN
2) wszyscy dołączeni WLAN (mocne, trudne hasło)
Założenia sieci gościnnej WLAN :
1) wszyscy znający hasło WLAN (łatwe do wprowadzenia)
2) wykluczone wszystkie urządzenia domowników - kompy, tablety, telefony (ale tego nie umiem zrobić)

Nie chcę gości w sieci LAN domowej i przed tym broni trudne hasło do WLAN, ale też nie chcę domowników w sieci WLAN gościnnej.
Domownicy, idąc na łatwiznę wbijają łatwe hasło do sieci gościnnej i tyle z jest z tych założeń. Ludzie przeważnie robią to co jest im łatwiej.
Stąd moje pytanie:
jak wykluczyć, zabronić dostępu urządzeniom (MAC adresom) domowników w sieci WLAN gości ?

Tomato v137.
 
djwujek
Jedyne co mi przychodzi do głowy to regułki iptables poczytaj w necie na ten temat
---- SIEĆ 1 -----

1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W

------ SIEĆ 2 -------
1.Modem Livebox 3.0
 
cek149
Czytałem, próbowałem znaleźć i też mi się wydaje, że to jedyna droga, ale sam nie jestem na tyle biegły żeby takie regułki stworzyć.
Jeśli to jedyna droga, to może ktoś podrzuci przykładową, a ja ją spróbuję dostosować do swoich potrzeb.

Połączony z 07 czerwiec 2017 15:40:26:
Znalazłem coś takiego :

iptables -I INPUT -p tcp -m mac ! --mac-source 01:02:03:04:05:06 -j REJECT

ale nie chcę całkiem wywalić urządzenie z sieci, tylko z WLAN gości.
Edytowany przez cek149 dnia 07-06-2017 15:40
 
maxikaaz
W DD-WRT jest filtr MAC do każdego WLAN niezależnie.
WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
 
djwujek
https://superuser.com/questions/254774/home-network-to-accept-only-certain-mac-addresses-from-lan

Zamiast eth1 wstaw nazwe swojego interfejsu wifi i allow to dopusc block to blokuj
---- SIEĆ 1 -----

1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W

------ SIEĆ 2 -------
1.Modem Livebox 3.0
 
cek149
Niestety nie działa mi.
Wpisuję w Administration > Scripts > Firewall :
iptables -A INPUT -i lan1 -m --mac-source xx:xx:xx:xx:xx:xx -j DROP
albo :
iptables -A INPUT -i wl0.1 -m --mac-source xx:xx:xx:xx:xx:xx -j DROP
następnie Reboot i odczytuję w Tools > System Commands poleceniem iptables -L
W listingu "Chain INPUT" nie ma mojego wpisu, a mój telefon, który chciałem na próbę blokować w WLAN gości dalej się podłącza do WLAN gości.
Dodam, że w Administration > Scripts > Firewall mam inny wpis :
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
który wpisuje się poprawnie i działa.
Proszę, pomóżcie, zdawało by się, prosta sprawa, a jest problem.

Jeśli mogę, to mam sugestię do Shibby'ego, może dało by się rozwinąć Basic > Wireless Filter tak, by ustawiać filtrowanie indywidualnie dla każdej z sieci WLAN.
Przy okazji, podziękowania i szacunek dla Shibby'ego.
 
hermes-80
ebtables spróbuj - to jest zarządzanie ruchem w warstwie drugiej na switchu - tak jak byś maił zarządzany switch.
Sam testowałem to na Tomato i działa blokada po MAC (jak wiadomo switch działa na 2 warstwie sieciowej.

Pokaż wynik komendy: brctl show

Połączony z 08 czerwiec 2017 15:32:19:
Innym rozwiązaniem jest za pomocą konfiguracji DHCP (tutek) przypisać konkretnym MAC-ą fake parametry sieci - podsieć, bramke, dns-y
Edytowany przez hermes-80 dnia 08-06-2017 15:32
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149

root@Ruter:/tmp/home/root# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.10bf48e69b24       no              eth1
                                                        vlan1
br1             8000.12bf48e69b27       no              wl0.1
root@RuterWawa:/tmp/home/root#
 
hermes-80
iptables -I INPUT -m mac --mac-source TE:KP:HA:SE:R8:60 -j DROP

Sorbuj tego -I zamiast -A jak by co.
Dokumentacja ebtables:
[url]http://ebtables.netfilter.org/misc/ebtables-man.html
[/url]
http://ebtables.netfilter.org/example...l#example2
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149
Rzeczywiście, znalazłem w necie, że do filtrowania MAC adresów służy ebtables.

Wpisałem w PuTTY :
ebtables -A INPUT -i wl0.1 -d xx:xx:xx:xx:xx:xx -j DROP
wpisałem również :
ebtables -A INPUT -i br1 -d xx:xx:xx:xx:xx:xx -j DROP

w efekcie jest :

root@RuterWawa:/tmp/home/root# ebtables -L
Bridge table: filter

Bridge chain: INPUT, entries: 3, policy: ACCEPT
-d xx:xx:xx:xx:xx:xx -i wl0.1 -j DROP
-d xx:xx:xx:xx:xx:xx -i br1 -j DROP

Bridge chain: FORWARD, entries: 0, policy: ACCEPT

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
root@RuterWawa:/tmp/home/root#

i nic, telefon dalej podłącza się do wl0.1, czyli do sieci gościnnej.
cek149 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
 
hermes-80
EBTABLES
WNR3500L v1 Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB miniVPN


W Adminstration Firewall

#ładuje moduły:
insmod ebtables
insmod ebtable_filter
insmod ebt_ip

#teraz reguła:
ebtables -I INPUT -i vlan1 -s B4:6D:83:C6:BD:71 -j DROP


u ciebie -i wl0.1 i inny MAC - to raczej jasne Wink
moduły dla ARM-a mogą mieć inna nazwę

Telefon się podłączy do sieci ale nie będzie miał dostępu do neta bo jego pakiety zostaną zablokowane na interfejsie wl0.1

Wyświetlanie reguł:
ebtables -L

usuwanie reguł:
ebtables -I INPUT -i vlan1 -s B4:6D:83:C6:BD:71 -j DROP

zamieniamy I na D

Połączony z 09 czerwiec 2017 15:01:12:
Oczywiście testować sobie możesz na żywo wpisując w konsole odpowiednie łańcuchy - akcja dzieje się w czasie rzeczywistym Wink
Edytowany przez hermes-80 dnia 09-06-2017 15:01
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149
Wpisałem w PuTTY :
ebtables -I INPUT -i wl0.1 -s xx:xx:xx:xx:xx:xx -j DROP

po ebtables -L wpis jest w tabeli INPUT

i nic, telefon dołącza się do WLAN gości i domowej, na obu sieciach również otwierają się strony, czyli nie działa, wpis nie wnosi żadnych zmian w działaniu telefonu.

Nie przypuszczałem, że to będzie aż tak duży problem, tym bardziej, że maxikaaz pisze wcześniej :
"W DD-WRT jest filtr MAC do każdego WLAN niezależnie."
chyba i Tomato i DD-WRT są, że tak powiem, z tego samego pnia.

To w takim razie, jakimi wpisami w DD-WRT skutkuje filtrowanie po MAC w konkretnym WLAN ?
Może ktoś mógł by to sprawdzić ?
 
hermes-80
Model routera? Sprawdzałeś czy wszystkie moduły ci się załadowały poprawnie? U mnie to działa na wersji 130 jak i na 140.

Połączony z 10 czerwiec 2017 12:54:44:
Specjalnie zrobiłem wirtualny interfejs:
[root@Tomato root]$ brctl show

bridge name     bridge id               STP enabled     interfaces
br0             8000.e091f5eafb78       no                  eth1
                                                            vlan1
br1             8000.e291f5eafb7b       no                  wl0.1


Działa blokowanie MAC - adresu po INPUT jak i PREROUTING

Połączony z 10 czerwiec 2017 13:03:09:

Cytat

hermes-80 napisał(a):

Model routera? Sprawdzałeś czy wszystkie moduły ci się załadowały poprawnie? U mnie to działa na wersji 130 jak i na 140.

Połączony z 10 czerwiec 2017 12:54:44:
Specjalnie zrobiłem wirtualny interfejs:
[root@Tomato root]$ brctl show

bridge name     bridge id               STP enabled     interfaces
br0             8000.e091f5eafb78       no                  eth1
                                                            vlan1
br1             8000.e291f5eafb7b       no                  wl0.1


Działa blokowanie MAC - adresu po INPUT jak i PREROUTING


W którejś wersji Tomato były skopane VLAN-y - uaktualnij wersje.
Edytowany przez hermes-80 dnia 10-06-2017 13:03
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
cek149
Tomato Firmware 1.28.0000 MIPSR2-137 K26 USB AIO

Name Ruter
Model Asus RT-N16
Chipset Broadcom BCM4716 chip rev 1 pkg 10
CPU Freq 480MHz
Flash Size 32MB


root@Ruter:/tmp/home/root# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.10bf48e69b24       no              eth1
                                                        vlan1
br1             8000.12bf48e69b27       no              wl0.1


W załączniku screen z DD-WRT z filtrowania WLAN po MAC adresach, jak to działa ? jakie wpisy generuje ?

Połączony z 11 czerwiec 2017 16:23:02:
RT-N16, Tomato v137 AIO

Sukces, udało się.
Nie wiem czemu wcześniej nie działało, ale teraz działa.

Wpis w Administration > Scrips > Firewall :
iptables -I INPUT -i br1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
wyklucza urządzenie w sieci wl0.1

Dziękuję wszystkim za pomoc, temat można zamknąć.
cek149 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.

Edytowany przez cek149 dnia 11-06-2017 16:23
 
Marco76
Nie wiem czy to okaże się pomocne, ale taka jedna mała uwaga odnośnie reguł znajdowanych w necie i stosowania ich w Tomato: większość poradników dotyczy serwerów wystawionych publicznie i tam rzeczywiście w iptables reguły ustala się w INPUT, Tomato jednak służy transferowi pakietów,więc ja bym reguły zakładał dla FORWARD, bo INPUT dotyczy raczej dostępu do samego routera.
[small]Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot
 
cek149
Marco76, też o tym myślałem, ale w końcu doszedłem do wniosku, że zależy mi na tym, by wskazane urządzenia po MAC adresie wykluczyć całkowicie z jakiejkolwiek transmisji w tym konkretnym WLAN, więc chyba reguły w tabeli INPUT są najlepszym miejscem dla tego przypadku.
RT-N16, Tomato
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 12

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany

Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone

tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala Smile

tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes

Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz

tamtosiamto
19-03-2024 14:17
@Adooni 'Guest network on AiMesh - Router only'

70,443,078 unikalnych wizyt