|
blokada dostempu z wifi
|
| orator |
Dodano 10-08-2009 22:20
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
Chce zablokować klientom wifi dostęp do usługi routera na porcie 440
(klienci po kablu mają mieć dostęp nadal)
i wpisałem w firewall
iptables -A INPUT -p tcp --dport 440 -i wl0 -j DROP
firewall to łapie ale nie blokuje dostępu komputerom z wifi, co zrobiłem źle? |
| |
|
|
| obsy |
Dodano 11-08-2009 12:32
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Bo w standardowej konfiguracji udział bierze br-lan a nie wl0.
Rozdziel sobie na dwie oddzielne podsieci (lan - ethernet i lan1 - wlan) i powyższe zadziała.
|
| |
|
|
| orator |
Dodano 11-08-2009 17:27
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
jak to zrobić bo nie za bardzo rozumiem.
Dać dla wifi inną klase adresową niż dla kabla i wtedy w firewallu blokować po klasie IP? |
| |
|
|
| obsy |
Dodano 11-08-2009 21:09
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Tak też możesz.
Teraz masz w /etc/config/netowrk zrobionego bridge z ethX i wl0. Jak zrobisz to osobno i na innych klasach będziesz miał dwie podsieci.
|
| |
|
|
| orator |
Dodano 12-08-2009 03:07
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
nie wiem dlaczego ale najpierw wyłączyłem BRIDGE dla lanu
i wszystko działało.
Ale potem znik mi internet i po sprawdzaniu wszystkiego okazało się że po wyłączeniu bridge nie ma komunikacji lanu z internetem.
Ma to znaczenie że mam jako awaryjny internet GPRS na USB
na początku na wyłączonym bridge formuła
iptables -A input_rule -p tcp --dport 80 -i $LAN -j DROP
działała a teraz nie
Nie wiem co się stało
restarty nie pomogły |
| |
|
|
| obsy |
Dodano 12-08-2009 06:37
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Jeżeli rozłączyłeś bridge to teraz masz taką sytuację że ethernet jest obsługiwany (sekcja lan w /etc/config/network), natomiast nie masz takiej sekcji dla wl0. Dodaj ją jeszcze raz, nazwij ją powiedzmy lan1 jako interfejs urządzenia daj wl0.
Później zobacz jeszcze regułki firewalla w /etc/config/firewall, trzeba zezwolić na komunikację lan1 <> wan.
|
| |
|
|
| orator |
Dodano 12-08-2009 17:20
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
wyłączyłem bridge
w /etc/config/network
dotychczasowy lan nazwałem lan0 i pokierowałem go pod eth0.0
skopiowałem wersety lan0
i nazwałem lan1 i pokierowałem pod wl0
i mam problem:
1) komputery z kabla nie widzą się z tymi z wifi
2) obie podsieci nie widzą internetu
3) jak wygląda sprawa dhcp dla tych dwóch podsieci
proszę o pomoc bo nie wiem jak to ugryźć , a prawda jest taka że przy tej sprawie dość sporo się nauczyłem dzięki tobie @obsy  |
| |
|
|
| obsy |
Dodano 12-08-2009 19:04
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
/etc/config/dhcp - ustaw sobie klasy tak jak było dla lan
/etc/config/firewall - ustaw sobie rutng
Ładnie Ci idzie, więc zorientujesz się co jest co.
|
| |
|
|
| orator |
Dodano 12-08-2009 20:21
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
Pomożesz mi ? z tą maskaradą między lan0 a lan1 oraz lany z WANem
i jak to będzie wyglądało pod względem openvpn i awaryjnego internetu GPRS na USB |
| |
|
|
| obsy |
Dodano 12-08-2009 23:09
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Czego nie wiesz? Masz tak zone forwarding lan na wan, a masz zrobić lan0 na wan i lan1 na wan. Tak same config zone...
|
| |
|
|
| orator |
Dodano 12-08-2009 23:30
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
w /etc/config/firewall znalazłem taką za komentowaną formułe
forward::[:]
i mam wpisać
forward:lan0:lan1
forward:wan:lan0
forward:wan:lan1
czy źle rozumuje ?
PS. to co dla ciebie jest proste i jasne to dla mnie są rzeczy których ja muszę się nauczyć, niestety  |
| |
|
|
| obsy |
Dodano 13-08-2009 00:08
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
uci add firewall zone
uci set firewall.@zone[-1].name=lan0
uci set firewall.@zone[-1].network=lan0
uci set firewall.@zone[-1].input=ACCEPT
uci set firewall.@zone[-1].forward=REJECT
uci set firewall.@zone[-1].output=ACCEPT
uci add firewall zone
uci set firewall.@zone[-1].name=lan1
uci set firewall.@zone[-1].network=lan1
uci set firewall.@zone[-1].input=ACCEPT
uci set firewall.@zone[-1].forward=REJECT
uci set firewall.@zone[-1].output=ACCEPT
uci add firewall forwarding
uci set firewall.@forwarding[-1].src=lan0
uci set firewall.@forwarding[-1].dest=wan
uci add firewall forwarding
uci set firewall.@forwarding[-1].src=lan1
uci set firewall.@forwarding[-1].dest=wan
uci add firewall forwarding
uci set firewall.@forwarding[-1].src=lan0
uci set firewall.@forwarding[-1].dest=lan1
uci add firewall forwarding
uci set firewall.@forwarding[-1].src=lan1
uci set firewall.@forwarding[-1].dest=lan0
uci commit firewall
/etc/init.d/firewall restart
Mniej-więcej. A ponieważ dziś to już jest jutro to kombinuj - ja idę spać
|
| |
|
|
| obsy |
Dodano 13-08-2009 00:09
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
A, to polecenia do wydania z konsoli...
|
| |
|
|
| orator |
Dodano 13-08-2009 01:45
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
@obsy to są polecenia do 8.09 a ja siedzę jeszcze na 7.09 |
| |
|
|
| obsy |
Dodano 13-08-2009 06:34
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Aha, a fajnie ze gdzieś w tym wątku o tym napisałeś
Więc pewnie jest tak jak piszesz...
|
| |
|
|
| orator |
Dodano 13-08-2009 15:02
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
Przepraszam zapomniałem o dwóch królach OpenWRT (moja wina)
Jak to zrobić na 8.09 już wiem, przyda się jak będę się przenosił
Ale jak zrobić forwarding na 7.09 bo wiedza ta przyda się też do pracy z linux , a w google nie mogę wyszukać.
A rołter na którym chce to zrobić jest w pracy 24/7 , więc nie za bardzo mogę pozwolić sobie na przestoje i testy |
| |
|
|
| obsy |
Dodano 13-08-2009 16:02
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Ja wymyślam a to na wiki jest opisane
http://wiki.openwrt.org/oldwiki/openw...d.firewall
Musisz plik startowy firewalla zmodyfikować.
|
| |
|
|
| orator |
Dodano 13-08-2009 18:54
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
Wpisałem
iptables -A FORWARD -i $WIFI -o $WIFI -j ACCEPT
[ -z "$WAN" ] | iptables -A FORWARD -i $WIFI -o $WAN -j ACCEPT
iptables -A FORWARD -i $WIFI -o $LAN -j ACCEPT
iptables -A FORWARD -i $LAN -o $WIFI -j ACCEPT
ale wifi z lanem się nie widzą (brak pinga), a nawet taki ja już wiem że
iptables -A FORWARD -i $WIFI -o $LAN -j ACCEPT
iptables -A FORWARD -i $LAN -o $WIFI -j ACCEPT
powinno załatwić tą sprawę.
czy lan i wifi mogą mieć tą samą adresacje ip np.192.168.10.x
czy każda podsieć musi mieć inne adresy IP żeby podsieci się komunikowały (wolał bym tego uniknąć)
Edytowany przez orator dnia 13-08-2009 19:36
|
| |
|
|
| obsy |
Dodano 14-08-2009 08:36
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
A masz $WIFI i $LAN? Bo o ile doczytałeś to na początku skryptu masz podstawianie tych zmiennych, u Ciebie odnoszą się odpowiednio do lan1 i lan0. Zmodyfikowałeś to?
|
| |
|
|
| orator |
Dodano 23-08-2009 14:48
|
User
Posty: 155
Dołączył: 08/08/2006 12:23
|
wszystko nazwy podsieci i cała reszta jest u mnie tak jak w przykładzie
(zrezygnowałem z lan0 i lan1) |
| |
|
' target='_blank'>Link
