Pierwszą rzeczą o jaką często pytają mnie świeżo-upieczeni właściciele EdgeRouterów jest: "jak zablokować dzieciakowi internet". Zatem do dzieła.
Blokowanie po IP
EdgeRouter co prawda posiada możliwości blokowania po MAC adresach lub po adresach IP ale (co lepsze) potrafi blokować po wcześniej przygotowanych grupach adresów, co uważam nawet lepszą opcją, gdyż jesteśmy w stanie przygotować sobie reguły i już do nich nie wracać a jedynie dopisywać kolejne IPki do grupy.
Rzeczą oczywistą jest najpierw przypisanie stałego adresu IP dla hostów. W tym celu przechodzimy do Services -> DHCP Server -> LAN -> Action -> Configure Static Map. Tu definiujemy statyczne dzierżawy IP (od razu dopowiem że ID to dowolna nazwa własna). Możemy też przejść do zakłądki "Leases" gdzie znajdziemy wszystkie dynamicznie rozdane adresy IP i jednym kliknięciem w "Map Static IP" możemy dodać rekord statyczny.
Kolejną rzeczą jest dodanie grupy adresów IP. Uczynimy to przechodzą do Firewall/NAT -> Firewall/NAT Groups. Dodajemy nową grupę, jako typ wybierając "Address Group". Po zapisaniu możemy wybrać Action -> Config i dopisać wybrane adresy IP.
Teraz jak mamy już grupę to zróbmy regułę blokowania. Firewall/NAT -> Firewall polices -> Add Ruleset. Nazwijmy ją sobie dowolnie, Interfejs wybieramy Switch/In (czyli to co przychodzi na switch i wychodzi do danego IP), polityka domyślna Accept (regułami będziemy blokować). Ważne by ta nowa grupa reguł była PRZED WAN_IN, WAN_LOCAL
Tak to ma mniej więcej wyglądać
Następnie wybieramy Action -> Edit Ruleset i dodajemy nową regułę. Domyślna akcja dla reguły ma być DROP natomiast jako źródło wskazujemy wcześniej utworzoną grupę IP.
Dodatkowo w zakładce "Time" możemy zdefiniować gni, godziny w których blokada ma działać, np. w dni powszednie od 15:05 do 19:00 (zwróćcie uwagę, że na poniższym screenie jest zaprzeczenie, czyli w Days wpisałem sobotę i niedzielę ale zaznaczyłem checkbox by blokował we wszystkich dniach z wyjątkiem tych wymienionych)
Po zapisaniu reguła już zacznie działać. Można też samą regułę wyłączyć odznaczając checkbox "Enable" na pierwszej zakładce. Wtedy reguła się wyszarzy.
O krok dalej, czyli blokada po usługach z wykorzystaniem DPI
Nowością niedostępną w Tomato jest DPI (Deep-Package-Inspection) czyli możliwość analizy i blokowania po aplikacjach. Przypomnijcie sobie ile to razy padało na forum pytanie "jak zablokować dziecku Facebooka lub Youtube?". EdgeRouter na to pozwala.
Zacząć musimy od aktywacji DPI. W tym celu przechodzimy do Traffic Analysis i ustawiamy Operational Status na "Enable". Po niedługim czasie zauważymy, że dane zaczną być zbierane. Po rozwinięciu danego hosta ujrzymy kategorie aplikacji. Po najechaniu na daną kategorię zobaczymy "Build-in category". Router ma wbudowane kilkanaście głównych kategorii np
- "Peer-to-peer networks" oznacza wszystkie sieci P2P
- "Social Networks" oznacza wszystkie formy komunikatorów i portale społecznościowe
- "Games" - to szeroko rozumiane gry online, od steama, po bungie.net
- "Streaming Media" - to Youtube i wszelkie VOD
Możemy wykorzystać te wbudowane "globalne" kategorie. Możemy też zbudować własne przykładowo nie chcemy blokować całego "Streaming Media" a jedynie Youtube. Jeżeli klikniemy w protokół to wyskoczy nam okno do dodania aplikacji do własnej kategorii
Możemy utworzyć nową kategorię, możemy też dodać do już istniejącej. Teraz w samej regule blokowania, na zakładce "Advanced" możemy wskazać kategorię (Application), którą chcemy zablokować. Warto dodać, że działa to "od ręki" co potrafi wywołać uśmiech na twarzy rodzica
Pozdrawiam
Edytowany przez shibby dnia 11-01-2021 08:20
Proxmox VE:i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology DS920+ VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
@majkel152 - nie, dlaczego? Tomato to nadal świetne oprogramowanie i super, że jest rozwijane. Nadal nic nie zastąpi jego prostoty połączonej z jego możliwościami. Sam wielokrotnie do niego wracam.
Co nie zmienia faktu, że kernel 2.6 nadal mocno go blokuje. Nawiązując nawet do powyższego tutoriala, bardzo chciałbym zobaczyć nDPI w Tomato ale właśnie z racji wymuszonego przez sterowniki takiej a nie innej wersji kernela jest to niemożliwe.
Proxmox VE:i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology DS920+ VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
Witam
świetne, właśnie takich poradników potrzeba.
a masz może poradnik na filtrowanie adresów ip, chodzi mi połączenia wan przychodzące. (geopip,ipset) WAN_IN
mam w zamyśle blokowanie państw
nie odpowiem wprost na to pytanie, bo wszystko będzie zależeć od tego czy moduł DPI wykryje taką akcję jako osobny protokół po którym można by blokować. Chociaż wydaje mi się, że wykryje je jako zwykły tuch http/https, zatem bardziej prawdopodobna jest negatywna odpowiedź na twoje pytanie.
Proxmox VE:i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology DS920+ VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala
tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes
Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz
' target='_blank'>Link
