PDA

Bekijk de volledige versie : Разграничение доступа в Интернет WL-500gP


Jekl
18-06-2006, 10:09
Есть в квартире два компа подключенных к WL-500gx, через который доступ к провайдеру по Static IP.
Как проще всего организовать возможность отключать один комп (можно по IP (они статические в домашней сети), можно по МАС) от доступа в интернет, оставляя его сети и не перезагружая роутер?
Желательно через свою страничку администратора (php-thttpd на роутере установлен). Страничку и скрипт напишу сам, а вот какую команду в Shell необходимо выполнять для выключения и включения? И будет ли она выполняться из php-скрипта. (Пробовал изменять время - не получается - нет прав).
Надеюсь на помощь.
Tsvetkov
19-06-2006, 17:42
выдернуть сетевой провод ;)
а так - создать правила по умолчанию блокировать lan-wan
и в исключениях прописать нужные Ip
Oleg
19-06-2006, 17:44
Ну, ответьте пару слов, плз!
iptables, фильтровать по МАК адресу.
Хрюндя
04-12-2006, 19:14
Люди, подскажите, как в WL-500G Premium со стандартной прошивкой, можно установить лимит доступа в интернет для одного компьютера через wi-fi. Это обусловлено тем что младший брат сидит до утра в интете и каждый день просыпает и идёт в училище тока к 3-4 уроку...
Подскажите пожалуйста, буду очень признателен.
ice
04-12-2006, 19:19
меню wireless-advanced
поле Time of Day to Enable Radio
Хрюндя
04-12-2006, 19:26
это видимо я неправильно написал, моя ошибка, по wi-fi кроме этого компа ещё есть один... вот там интернет должен остатся.
ice
04-12-2006, 20:19
это видимо я неправильно написал, моя ошибка, по wi-fi кроме этого компа ещё есть один... вот там интернет должен остатся.

тогда скрипттом и кроном запускать добавление/удаления правила в файрвол (может есть способ лучше...но в голову не приходит)
seeker
16-01-2007, 20:09
Подскажите пожалуйста, как через никсовую командную строку отключить например комп с заданным ip из lan от роутера или для конкретного ip/mac adress закрыть входящие и исходящие на определённый хост или по ряду портов?

PS и ещё бы посмотреть список подключённых к роутеру компов:)
FilimoniC
16-01-2007, 20:27
Подскажите пожалуйста, как через никсовую командную строку отключить например комп с заданным ip из lan от роутера или для конкретного ip/mac adress закрыть входящие и исходящие на определённый хост или по ряду портов?

PS и ещё бы посмотреть список подключённых к роутеру компов:)

Есть пакет netcat . Пишешь тулзу которая ставится на комп, и netcat'ом шлешь туда ченить.. соответственно в взависимости от команды, прога делает "чтото", например в спячку загоняет.
Mam(O)n
17-01-2007, 06:04
...для конкретного ip/mac adress закрыть входящие и исходящие на определённый хост...

Фильтрацию маршрутизируемых пакетов можно сделать через iptables. Например, для исходящих пакетов:
1. по MAC адресу. Mac адрес должен быть вида XX:XX:XX:XX:XX:XX
- запретить прохождение

iptables -I FORWARD -m mac --mac-source mac_адрес -d ip_адрес_хоста -j DROP
- отменить запрет

iptables -D FORWARD -m mac --mac-source mac_адрес -d ip_адрес_хоста -j DROP

2. по IP:
- запретить прохождение

iptables -I FORWARD -s ip_источика -d ip_адрес_хоста -j DROP
- отменить запрет

iptables -D FORWARD -s ip_источика -d ip_адрес_хоста -j DROP
vladspbru
22-02-2007, 14:30
подскажите в какую сторону копать по следующему вопросу или ссылку


при подключени через роутер скорость по локальной сети провайдера в десяток раз падает не 1000k а лишь ~40k
мой статик 80.7.233.48 в локалке ftp 10.5.16.31

не пинайте сразу ну не силен я настройках ip чуствую что маршруты прописывать надо, а как не знаю. форум читаю но все больше запутываюсь.
wondershaper не влючал
Oleg
22-02-2007, 14:35
Какое подключение к провайдеру? 10 мегабит халф-дуплекс?
И какая модель роутера?
vladspbru
22-02-2007, 15:24
wl500gP
10 мегабит езернет, наверное дуплекс,

только что вписывал в route
10.5.0.0. 255.255.0.0 80.70.233.1 1 MAN
перегружаютсь и все равно вижу
80.70.233.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
80.70.233.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 80.70.233.1 0.0.0.0 UG 0 0 0 vlan1
vladspbru
22-02-2007, 15:26
забыл написать соединение на прямую не через Vpn пока еще
Oleg
22-02-2007, 15:33
MAN будет только при PPTP, сейчас это WAN.

Думаю, что Вам нужно зафиксировать скорость на интерфейсе.

Вот:
http://wl500g.info/showthread.php?t=7613&highlight=robocfg
vladspbru
24-02-2007, 10:40
Мои извинения что ввел в заблуждение условиями проблемы,

Все дело снижения скорости кроется в wshaper
Как только запускаю скрипт wshaper start "vlan1" 1000 220
получаю жуткие / 40KB/s / тормоза при скачивании с ftp

кроме лога ничего добавить не могу. Какие "цифирки" порекомендуете для wshaper



[admin@asus root]$ wshaper status "vlan1" 1000 220
qdisc ingress ffff:
statistics truncated
qdisc sfq 30: quantum 1518b perturb 10sec
statistics truncated
qdisc sfq 20: quantum 1518b perturb 10sec
statistics truncated
qdisc sfq 10: quantum 1518b perturb 10sec
statistics truncated
qdisc htb 1: r2q 10 default 20 direct_packets_stat 6
statistics truncated
class htb 1:1 root rate 220Kbit ceil 220Kbit burst 6Kb cburst 1880b
Sent 256808 bytes 4495 pkts (dropped 0, overlimits 0)
rate 952bps 16pps
lended: 0 borrowed: 0 giants: 0
tokens: 175943 ctokens: 51929

class htb 1:10 parent 1:1 leaf 10: prio 1 rate 220Kbit ceil 220Kbit burst 6Kb cburst 1880b
Sent 249828 bytes 4406 pkts (dropped 0, overlimits 0)
rate 949bps 16pps
lended: 4406 borrowed: 0 giants: 0
tokens: 175943 ctokens: 51929

class htb 1:20 parent 1:1 leaf 20: prio 2 rate 198Kbit ceil 198Kbit burst 6Kb cburst 1852b
Sent 6980 bytes 89 pkts (dropped 0, overlimits 0)
rate 2bps
lended: 89 borrowed: 0 giants: 0
tokens: 197301 ctokens: 58602

class htb 1:30 parent 1:1 leaf 30: prio 2 rate 176Kbit ceil 176Kbit burst 6Kb cburst 1824b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
lended: 0 borrowed: 0 giants: 0
tokens: 223417 ctokens: 66363

Oleg спасибо за работу. купил карточку wmz , насколько безопасно в личку коды отправлять (пока не параноик :))
vladspbru
24-02-2007, 11:07
впрочем
wshaper start "vlan1" 1500 1500
тоже не помогает скорость down фтипишки ограничена тойже планкой
Romeo9128
27-05-2007, 20:58
Доброго дня или ночи... у кого как...
Очень интересует один вопросик по iptables. Никак не удаётся выполнить одну вроде бы не сложную комбинацию.
Собственно ситуация следующая. Имеется локалка. По vpn подключается инет. Прописана марщрутизация. И в итоге на lan-выходах роутера мы имеем ресурсы инета(ppp0)+локальной сети (vlan1).
За роутером поднят ftp-сервер (к примеру ip=192.168.1.10)/ Так же всё это хозяйство имеет внешний статический ip и в интернете виден фтп-сервер.
собствено проблема следующая. Необходимо средствами iptables заблокировать доступ к фтп-серверу (ip=192.168.1.10), кроме списка определённых адресов при этом разрешив доступ к нему из Internet.
Сколько не экспериментировал с блокировками - либо блочится весь дотуп либо открыт весь доступ.
P.S. Список разрешённых ip желательно хранить в отдельном файле (ну это в идеале (мечтать так мечтать))... Но можно и ручками прописать...
Может кто из более разбирающихся людей сможет подсказать необходимые правила?
Зарание спасибо.
MMike
27-05-2007, 21:17
На opennet.ru в поиске по iptables можно найти кучу примеров как это сделать, в тч и как парсить адреса из файла.
exm
24-09-2007, 14:02
возможно, проблемы как таковой не существует для знающих людей, но обладая очень минимальными познаниями в линуксе, не могу даже приблизительно представить, как организовать следующее - необходимо ограничить на определенное время, например с 10.00 до 18.00 с определенного Ip внутренней сети доступ в интернет (wan). средствами фильтрации Wan-lan не удается добиться требуемого результата - фильтр просто не работает. не хочу, чтобы ребенок весь день сидел перед компьютером...
уважаемые, помогите! не разбираюсь я в этом линуксе, никак...
Alexey
08-10-2007, 08:00
Есть такая проблема:
Есть сеть А на 10 машин, все машины собраны в хаб А, который в свою очередь воткнут в роутер в LAN1.
Есть сеть B на 10 машин, все машины собраны в хаб B, который в свою очередь воткнут в роутер в LAN2.
Есть выход в инет через порт WAN.
Также к роутеру подключен жесткий диск, который видно через сеть по Samba.

Требуется:
1. Чтобы Сеть А имела доступ к WAN и жесткому диску по Samba (доступ к сети B не обязателен).
2. Чтобы Сеть B не имела доступ к WAN и машинам сети А
(только доступ к жесткому диску по Samba)

что пробовал:
поднять на LAN2 независимый интерфейс чтобы он не видел LAN1 и WAN
для этого в post-boot прописал:
robocfg vlan 0 ports "1 3 4 5t" vlan 2 ports "2 5t" vlan 1 ports "0 5t"
vconfig add eth0 2
ifconfig vlan2 192.168.3.1 broadcast 192.168.3.255 netmask 255.255.255.0 up

LAN1 имеет 192.168.2.1 и маску 255.255.255.0

в результате:
роутер легко пингует себя по адресу 192.168.3.1
и машину сети B по адресу 192.168.3.2
машина роутер не видит и пинг на роутер не проходит

Если не сложно подскажите в чем проблема или предложите как решить ее иначе более грамотно.
Alexey
09-10-2007, 08:30
С пингом разобрался почему не идет, только не понимаю видимо что то.

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 MACS all -- anywhere anywhere
2 DROP all -- anywhere anywhere state INVALID
3 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
4 ACCEPT all -- anywhere anywhere state NEW
5 ACCEPT all -- anywhere anywhere state NEW
6 ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
7 ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
8 logdrop all -- anywhere anywhere

Пинг дропается почему то на правиле 8 таблицы INPUT. Хотя пинг из LAN1 работает отлично.

Объясните плиз.
Mam(O)n
09-10-2007, 16:11
Потому что пинг из лан1(br0) проходит через разрешающее правило №5 . Чтобы понять, почему, смотреть цепочку лучше так: iptables -L INPUT -vn
Alexey
10-10-2007, 07:25
Большое спасибо. я просто в линухе новичок. теперь понятно, что он еще и интерфейс анализировал. Все получилось. Добавил новое правило в таблицу INPUT и все заработало.
По поводу разграничения доступа двух сетей тоже все получилось.
Заодно поднял вместо одной 2 самбы для разграничения доступа к жесткому диску. В общем получилось все, что я и хотел.
Остался один вопросик не решенным. (тока ногами не бейте, направьте на путь истиный).
Если я отключаю в Веб-морде FTP, то у меня, как мне кажется, перестает монтироваться жесткий диск и запускаться post-mount.
Что мне прописать и куда, чтобы у меня был полноценный доступ к диску без запуска FTP.
При ручном запуске post-mount:
mount -obind /tmp/harddisk/opt /opt
mount -obind /tmp/harddisk/part1/share /opt/shar
выдается:
mount: Mounting /tmp/harddisk/opt on /opt failed: No such file or directory
mount: Mounting /tmp/harddisk/part1/share on /opt/shar failed: No such file or directory
Mam(O)n
10-10-2007, 08:31
Что мне прописать и куда, чтобы у меня был полноценный доступ к диску без запуска FTP.

В пост-бут добавить:


insmod scsi_mod
insmod sd_mod
insmod usb-storage
Alexey
10-10-2007, 14:35
большое спасибо. все получилось.
Alexey
11-10-2007, 08:23
Рано обрадовался :(
2 самбы жить вместе отказываются.
Может поможет кто, как их подружить.
Лог самбы:
[2007/10/11 09:47:14, 0] source/lib/util_sock.c:open_socket_in(804)
bind failed on port 139 socket_addr = 192.168.2.1.
Error = Address already in use
Mam(O)n
11-10-2007, 17:47
Address already in useРазные процессы на одинаковом адресе:порту сидеть не могут.
Alexey
12-10-2007, 06:48
Это я понял. Осталось понять можно это исправить или никак.
Вот здесь описано, но у меня не вышло, и я не понимаю как может получиться:
http://www.openspin.org/wiki/index.php/Настройка_двух_samba-серверов_на_одной_машине
Alexey
12-10-2007, 13:40
Все удалось решить. оказалось, что был запущен xinetd, который мешал работе самбы. После его отключения все получилось.
2 самбы работают совместно без проблем.
за что большое спасибо и респект Mam(O)n
TapakaH
23-11-2007, 14:58
Ламерский вопрос, но всетаки.
Мой роутер - WL-500g Premium. Я хочу полностью запретить одному МАС-адресу в LAN роутера доступ в WAN, а также из WAN. Но оставить устройству доступ в LAN роутера. Как мне это сделать?
Mam(O)n
24-11-2007, 04:38
В веб морде Internet Firewall => MAC Filter
didobr
02-12-2007, 14:20
К сожалению, при использовании Internet Firewall\MAC Filter блокируется весь LAN-трафик компьютера, с указанным MAC-адресом. По, крайней мере именно так происходит на моем WL550gE (прошивка 1.9.2.8).
Может уважаемый Олег, сможет модифицировать прошивку, чтобы блокировался именно WAN-трафик для требуемых MAC-адресов локальной сети? Есть ли у к кого-нибудь альтернативные решения этой проблемы?
Заранее благодарен, Дмитрий.
al37919
02-12-2007, 15:08
Попробуйте добавить в post-firewall подставив вместо X правильную цифру

iptables -I FORWARD -o ppp0 -s 192.168.1.X -j REJECT

mac можно привязать к IP, например через DHCP

Если бы в прошивке был модуль ipt_mac , то можно было бы рулить непосредственно по mac
Ilmarinen
02-12-2007, 15:33
Попробуйте добавить в post-firewall подставив вместо X правильную цифру

iptables -I FORWARD -o ppp0 -s 192.168.1.X -j REJECT

mac можно привязать к IP, например через DHCP

Если бы в прошивке был модуль ipt_mac , то можно было бы рулить непосредственно по mac
Если я не ошибаюсь использование MAC-filter в web-интерфейсе приводит к тому, что появляется цепочка MACS в которой и происходит фильтрация по mac адресам, что-то типа
...
iptables -A INPUT -i br0 -j MACS
iptables -A FORWARD -i br0 -j MACS
...
iptables -A MACS -m mac --mac-source 00:11:25:47:00:56 -j RETURN
...
iptables -A MACS -j DROP
Но как уже отмечено выше фильтр обрубает доступ совсем.
Поэтому можно попробовать правило
iptables -I FORWARD 1 -o Имя_WAN -m mac --mac-source mac_адрес -j DROPЕсли добавлять правило в скрипт post-firewall, то Имя_WAN интерфейса заменить на $1.
didobr
02-12-2007, 15:48
al37919 спасибо за совет.
После просмотра документации по iptables, проверил MAC-фильтрацию по команде:

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

Отработало нормально и интернет трафик вроде блокирует.

Остались вопросы:
1. Правильно так блокировать интернет по MAC-адресу, с точки зрения корректности/безопасности или нужно, как-то изменить/дополнить правила фильтрации?
2. На мой взгляд, конечному пользователю, было бы более удобным блокирование Интернет трафика через Internet Firewall\MAC Filter вэб-страницы.

С уважением, Дмитрий
Ilmarinen
02-12-2007, 16:05
После просмотра документации по iptables, проверил MAC-фильтрацию по команде:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
Отработало нормально и интернет трафик вроде блокирует.

Остались вопросы:
1. Правильно так блокировать интернет по MAC-адресу, с точки зрения корректности/безопасности или нужно, как-то изменить/дополнить правила фильтрации?
Ваш вариант в принципе правильный, если не менять стандартные правила среди которых есть
iptables -A FORWARD -i br0 -o br0 -j ACCEPTпропускать весь трафик локальной сети.

2. На мой взгляд, конечному пользователю, было бы более удобным блокирование Интернет трафика через Internet Firewall\MAC Filter вэб-страницы.Если Вам необходимо достаточно часто менять mac-адреса и Вам нужно блокировать только выход за пределы LAN, то можно в post-firewall подкорректировать правило
iptables -A FORWARD -i br0 -j MACS, (по-моему оно первое) заменив его на
iptables -R FORWARD номер_правила -i br0 -o $1 -j MACS В этом случае действие mac-filter будет распространяться только на пакеты идущие за пределы LAN
al37919
02-12-2007, 16:28
да, действительно -m mac доступен, я не разобрался что в одном списке (man iptables) идут и встроенные модули и внешние
Ilmarinen
03-12-2007, 04:10
Говоря о "корректности/безопасности" я забыл сказать, что, к сожалению, запрещающее правило по mac-адресу очень легко обходится сменой mac-адреса. Можно этот обход усложнить, разрешив работу в сети только определенным mac-адресам, но принципиально ничего не мешает поменять mac-адрес на один из адресов списка и работать пока другой хост отключен. Решить это можно только привязкой mac-адреса к порту коммутатора, что на wl500g сделать достаточно сложно (если конечно вообще возможно). К сожалению, из постановки задачи не ясно с какой целью нужно ввести запрет на выход хоста с определенным mac-адресом за пределы LAN.
Vitas123
12-12-2007, 18:51
У меня возникла проблема - после установки маршрутизатора перестала работать программа доступа к статистике второго(резервного), подключенного через аналоговый модем напрямую к компьютеру, диалапного провайдера.
В хелпе к программе нашел такой пункт:
"Виват Ассистент(Golden Telecom) - Если программа все время находится в режиме ожидания, то возможно: настройки вашего фаервола, не позволяют соединиться программе с сервером статистики https://statserv.mplik.ru по 443 порту. "
Причем вручную на страничку статистики захожу нормально, а через программу - не фига ...

Пытался открыть порты TCP-UDP 443 в разделе виртуальный сервер - все равно не работает.

Подскажите, как в Asus WL-500gp осуществить то что написано в вышеприведенной цитате ?
Oleg
12-12-2007, 19:27
Думаю, что Вам следует обратится в саппорт этого провайдера. Раз уж у Вас всё ручками открывается...
sborodin
06-03-2008, 10:37
Будучи неудовлетворенным предложенными решениями по подсчету траффика,
я написал простенький скриптик на баше, который рисует
таблички в виде хтмл-странички, выдергивая данные из sqlite базы.

Кому интересно - см. вложенный архив. Там есть скрипт, который пишет в
базу раз в 5 минут, скрипт, который, собссно, рисует таблички и пара
sql-ев для создания таблиц в базе.

Из-за невысокой мощности коробочки пришлось пойти на некоторую
"избыточность" базы, в смысле правил нормализации, иначе она недопустимо
долго делает выборку.

Ну, естессно, кому не лень что-то подправить - вперед. Я не программист
и не особо старался что-то соптимизировать, а кодировать хтмл считаю
как "западло" :).
Vofik
06-03-2008, 12:53
если уж сделали, то будте, уж, любезны faq написать.............;)
lexass
06-03-2008, 18:06
если уж сделали, то будте, уж, любезны faq написать.............;)

зачем там ФАК ? :eek:
sborodin
07-03-2008, 14:35
если уж сделали, то будте, уж, любезны faq написать.............;)

Да там, вроде, все примитивно-просто: кладете 'traffic' в какую-нить
cgi-bin, а tr.css в ../css, ipt.sh в куда-нить, где роется cron - у меня
лежит в /opt/etc/cron.5m - считывает iptables раз в 5 минут.

Предварительно надо, конечно, создать базу и таблички:
cat /opt/tmp/имя-скрипта.sql | /opt/bin/sqlite3 /opt/var/sqlite/iptables.db

Понятно, что надо настроить цепочки в iptables, которые считают траффик,
но об этом уже много раз писали - нет смысла повторять.

Я кстати, забыл положить css, и нашел мелкую ошибочку.

Исправления во вложении.
Vofik
07-03-2008, 19:21
а можно ссылочку на iptables, чтоб ваше чудо заРАБОТАЛО????????
lexass
07-03-2008, 20:44
а можно ссылочку на iptables, чтоб ваше чудо заРАБОТАЛО????????
1. убери свою дебильную подпись
2. ПОИСК
sborodin
07-03-2008, 21:45
а можно ссылочку на iptables, чтоб ваше чудо заРАБОТАЛО????????

У меня много правил в post-firewall и мне бы не хотелось их показывать,
но общая идея, как обычно, проста:
1) чистим и удаляем все :-)
2) устанавливаем политику по умолчанию DROP для INPUT и ACCEPT для
FORWARD и OUTPUT
3) создаем цепочки для подсчета:
iptables -N chain1_in
iptables -N chain1_out
iptables -N chain2_in
iptables -N chain2_out

У меня chain1 - это первый провайдер, а chain2, соответссно, - второй.
В жизни они называются иначе.

Траффик подсчитывается по интерфейсам, а не по адресам, и чтобы
он считался, надо зарулить просмотр правил сразу же на нужную
цепочку, т.е. ДО первого ACCEPT'а, иначе этот ACCEPT не посчитается:

a) iptables -t filter -A INPUT -i ppp0 -j chain1_in

a там щелкнуть счетчиком и вернуться:

b) iptables -t filter -A chain1_in -i ppp0 -j RETURN

после a) вставляются любые правила - они на подсчет уже не влияют.

И, если что-то не хочется считать, то это надо вписать раньше, чем
правило заруливания в подсчет, т.е. до а)

Тот же принцип для OUTPUT И FORWARD:
iptables -t filter -A FORWARD -i ppp0 -j chain1_in
iptables -t filter -A FORWARD -o ppp0 -j chain1_out
iptables -t filter -A OUTPUT -o ppp0 -j chain1_out

Аналогично для другой/других цепочек.
Вот, собссно, и вся премудрость.
Vofik
08-03-2008, 10:25
а вместо ppp выставить wan как?
Spike_Manana
18-04-2008, 23:05
Доброго время суток!

Понимаю, что тема затертая до дыр, но на просторах интернета так и не нашел доходчегого ответа для себя. Я в сетях ничего не понимаю, а работать надо, помогите, уже несколько месяцев мучаюсь. Было WI-FI подключение, сеть работала но не коректно, то вырубалась, то работала на одном компе, на другом нет.

Ситуация такая...

Есть роутер WL500gP (прошивка 1.9.2.7-10 от Олега)
Стационарный комп и ноутбук (на обоих установлен Windows XP Pro SP2, ноут подключается по проводу, но в дальнейшем будет по WI-FI)

Хочу не много, подключить оба компа к интернету и связать их сетью для передачи фаилов и доступа к ним без скачивания! Получилось дать им обоим доступ в интернет, а как пытаюсь зайти в свой WORKGROUP то выдается такая вот ошибка: Смотрите приложение
При попытке пинга второго компа пишет Destination host unreachable

Настройки которые изменял в роутере вот такие:

IP Config > WAN & LAN
WAN Connection Type
Static IP (Не знаю точно какой нужно ставить, как это узнать?)
WAN IP Setting
Выставил IP, Mask, Gateway которые получил от провайдера
WAN DNS Setting
Выставил DNS сервера, те что получил от провайдера

IP Config > DHCP Server > Assign IP Address Manually
Enable Manual Assignment? - Поставил Yes
Прописал каждому компу свой айпишник

System Setup > Operation Mode
Режим - Home Gateway

Я так понял что возможно нужна настройка роутов, только не понял как это делать.

Настройки в Винде:
Установил обоим компам одну группу, настройки TCP/IP на автомате, открыл шаринг и все такое.

Если нужна еще какая либо информация скажите, я сразу напишу!

Заранее большое спасибо, надеюсь на Ваше понимание!
maxximus
21-04-2008, 07:02
Привет!
А у меня немного наоборот, не пускает в инет:(. Между компами все гуд. Стояла оф прошивка 1975, настройки сделал через EZSetup Wizard все заработало - видит сеть и интернет, как по Wi-Fi так и по LAN (связка ноут+стационар).
Перепрошился на Олега прошивку для WL500gp-1.9.2.7-10, после этого сеть перестало видеть. Все стоит в автомате!
При этом выдает следующее:
Connection Type: Automatic IP
IP Address: 192.168.97.105
Subnet Mask: 255.255.252.255
Default Gateway: 192.168.97.106
DNS Servers: 217.77.53.237 217.77.52.252
Пытался все вбивать вручную ничего не получилось!

На официальной прошивке:
Connection Type: Automatic IP
IP Address: 10.10.140.ХХ
Subnet Mask: 255.255.255.0
Default Gateway: 10.10.140.254
DNS Servers: 217.77.53.237 217.77.52.252
Чего неправильно не понимаю, уже 5 день шью туда сюда.

Вобщем не разбирался сильно в чем причина сделал так:
После очередной перепрошивки от Олега 1.9.2.7-10 (хвала великому гурру) не стал сбрасывать все в дефолт (после перепрошивки в интернет пускало), сохранил все настройки в файл после этого обнулился, и импортнул файлик с настройками все работает как часы! Спасибо всем кто не помог:)
koalw
29-04-2008, 06:33
Добрых суток. Подсчет трафика для меня актуальная тема.

Во всех решениях меня смущает, тот момент - что нужно писать правила для каждого ip внутри сети. Адреса даю по dhcp.

Я хочу чтобы трафик считался по тем внутреним ИПшникам - которые ходят:) А не те что перечислены в iptables. Такое возможно?

И еще - почему тему подсчета трафика не выведут в топ?, крайне тяжко искать на форуме.(Кстати - в одной ветке указан подсчет трафа, но инфа не полная, так как сказано - сходите по "той" сылке почитайте, а сылка дохлая:(


Спасибо за любой конструктивный ответ.
Spacesoft
29-04-2008, 07:31
Добрых суток. Подсчет трафика для меня актуальная тема.

Во всех решениях меня смущает, тот момент - что нужно писать правила для каждого ip внутри сети. Адреса даю по dhcp.Так привяжите ипы к макам в настройках дхцп-сервера.
Узнать текущие маки можно по ip neigh в консоли роутера.
Я хочу чтобы трафик считался по тем внутреним ИПшникам - которые ходят:) А не те что перечислены в iptables. Такое возможно?Возможно по идее...
Буквально позавчера поднимал тему (http://wl500g.info/showthread.php?t=12390), раскрывать пока видимо энтузиастов нема, а мне одному влом - и так пашет.
Dekker
29-04-2008, 07:32
смотрите в сторону darkstat
на форуме есть скомпиленные исходники
еще мона поискать по слову "статистика" :)
Dark_Elven
08-06-2008, 12:14
Здравствуйте, народ!
В первых хотелось поблагодарить Олега за прошивку, уже запостил (http://wl500g.info/showpost.php?p=99751&postcount=169) настройки для Волгоградской сети...

Собственно вопрос.
Имеем модель Asus WL-500G Premium v1
1.9.2.7-10 (2008-03-30) Просто прошил и настроил Инет и всё. Никаких других операций не было. Подключена флеха на 1 гб, в сети её видно, можно использовать её для хранения программ на роутер.
Итак, появился ноутбук, подключение Wi-Fi.

1. Не работает присвоение IP по МАКу.
Причем как по проводам, так и по ВиФи. Причем как и у компа так и у ноута.
2. Не могу запретить доступ в Интернет ни по IP ни по МАКу... Не нашел менюшки, присутствующей в оф. прошивке!
3. Не работает ограничение пропускной способности по IP адресу.
Нужно:
Чтобы работали первые три пункта.
А во вторых (если это возможно) мне нужно разрешить определенному IP (ноутбуку) использовать городскую сеть провайдера (она бесплатная), имеющую адреса вида 10.*.*.* и запретить любой доступ в Инет.
Если можете помочь, то просьба пошагово или если есть - ссылками...

P.S. Факи читал, но не нашел нужного.
путти скачал. Готов!:)
Flitzen
17-06-2008, 20:23
роутер wl500gp прошивка олега..
задача - ограничить доступ подключаемого x-box'а за пределы локальной сети..
вопрос - как это сделать так, чтоб можно было без проблем этот доступ ему вернуть, как лучший вариант - запретить одному из портов роутера выход за пределы сети.. переткнул в другой порт и все работает.. есть такая возможность и как ее реализовать?
Bivis
20-06-2008, 10:16
Собственно роутер стоит в большой одноранговой локалке (~200 машин). Инет через него должны получать всего 5 человек. Как этого добиться? Пытался использовать MAC-фильтр из закладки "Internet firewall" с действием Accept, вбив туда маки разрешенных компов, но всё-равно доступ имеют все, кто пропишет у себя в качестве шлюза IP роутера.
EugeenB
20-06-2008, 10:56
Собственно роутер стоит в большой одноранговой локалке (~200 машин). Инет через него должны получать всего 5 человек. Как этого добиться? Пытался использовать MAC-фильтр из закладки "Internet firewall" с действием Accept, вбив туда маки разрешенных компов,Но при этом, забыл вбить запрещающее правило для всех остальных, с действием Drop?
но всё-равно доступ имеют все, кто пропишет у себя в качестве шлюза IP роутера.Можно из консоли роутера (доступной по telnet или ssh) написать разрешающие правила (по MAC или по IP) для некоторых и запрещающие для остальных, но можно и разделить внутреную сетку на две подсети (vlan) и осуществлять контроль доступа в и-нет через физическую коммутацию.
Bivis
20-06-2008, 16:06
Но при этом, забыл вбить запрещающее правило для всех остальных, с действием Drop?


а как выглядит это правило в веб-интерфейсе?



но можно и разделить внутреную сетку на две подсети (vlan) и осуществлять контроль доступа в и-нет через физическую коммутацию.

изменить физическую топологию сети невозможно.
EugeenB
21-06-2008, 12:16
а как выглядит это правило в веб-интерфейсе?
/usr/sbin/iptables -F FORWARD ; /usr/sbin/iptables -P FORWARD DROP
После этой команды - придёт "обломинго" всем локальным пользователям и-нета.
/usr/sbin/iptables -A FORWARD -o br0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Разрешим на внутренний бридж br0 только ответы на заданные вопросы

Остаётся перечислить избраных. Для чего нужно на каждого избранника дать команду:
/usr/sbin/iptables -A FORWARD -i br0 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
разрешить перенаправлять все пакеты на любые направления, пришедшие на бридж br0 с мак адреса --mac-source 00:00:00:00:00:00

Все эти команды лучше всего вводить из консоли роутера (telnet или ssh), но если Вам очень нравиться веб-интерфейс, то можно и из него со страницы "System Setup" --> "System Command"

Настройки будут работать до первой перезагрузки. Если понравятся - добавте их в файл /usr/local/sbin/post-firewall.
4wa
25-06-2008, 06:45
Надо фильтровать доступ в LAN для беспроводных клиентов . Пробовал средствами iptables - не получается. Ощущение, что iptables на интерфейсе eth1 не работает. Как реализовать сбж:confused:
Ranza
08-07-2008, 16:49
собственно интересует можно какнибудь поднять интернет статистику по пользователям домена (или хотябы по IP компов) на маршрутизаторе WL-500W с Олеговской прошивкой? интересует количество скаченного трафика и названия сайтов которые пользователь посещал. если есть возможность пожалуйсто напишите минигайд. заранее спасибо.
ZiP
08-07-2008, 18:13
собственно интересует можно какнибудь поднять интернет статистику по пользователям домена (или хотябы по IP компов) на маршрутизаторе WL-500W с Олеговской прошивкой? интересует количество скаченного трафика и названия сайтов которые пользователь посещал. если есть возможность пожалуйсто напишите минигайд. заранее спасибо.

squid + MySQL


#!/bin/bash

cp /var/log/squid/access.log /tmp/squidforparse.log
>/var/log/squid/access.log
awk '{print "INSERT INTO squid (ip,bytes,link,trans,time) \
VALUES(\""$3"\","$5",\""$7"\",\""$9"\",from_unixtime("$1"));"};' \
< /tmp/squidforparse.log | mysql -D traffics -u root
rm -f /tmp/squidforparse.log
rommel.ua
23-07-2008, 00:17
Использовали подход товарища sborodin на wl520gu.
Из сторонего софта потребовался cron, sqlite и bash

Для организации прохождения и подсчета траффика создали разрешающие правила в разделе forward iptables. Слив данных осуществляется модифицированной версией выложенного скрипта ipt.sh, который кроном запускается раз в 5 мин.
Основная модификация скрипта заключалась в том, чтоб не писать в базу сессии-пятиминутки с нулевым трафиком, ну и кое-какие небольшие правки.
sqlite-база лежит на usb-флешке (после полудня работы занимает 22кб, при 10 считаемых пользователях).
В базе заведены таблицы chains - список анализируемых цепочек iptables, years - рабочие периоды, traffic - база трафа для каждой цепочки, users - сопоставление названий цепочек и имен пользователей.

Скрипт traffic.cgi был модифицирован:
- введена замена названий цепочек на имена пользователей (берутся из таблицы сопоставления в базе -> users).
- поправлены работа с chain_id в таблицах.
- косметические правки.
Добавлен скрипт traf.cgi который показывает каждому юзеру только его статистику, вместо показа полной статистики по всем юзерам.

Некоторую проблему представляет непонятное убегание внутренних часов роутера, потому синхронизация времени с интернет выставлена на 2 часовой интервал.

Сутки - полет нормальный :)

Особая благодарность Прокопенко Тарасу, ака TP, за доработку скриптов.
Antosha
23-07-2008, 21:13
Чёт не понял с какой стороны начинать плясать.

Можно ещё подробнее описать процесс установки и настройки?

И хочется ещё спросить, он (скрипт) считает все проходящие адреса или только те, которые сопоставлены (и где именно)?
rommel.ua
23-07-2008, 22:30
Чёт не понял с какой стороны начинать плясать.

Можно ещё подробнее описать процесс установки и настройки?

И хочется ещё спросить, он (скрипт) считает все проходящие адреса или только те, которые сопоставлены (и где именно)?

1. Ставишь, cron, sqlite и bash через ipkg, а, блин, забыл указать еще lighttpd - встроенный web-сервер не потянет cgi.
2. для тех айпишников, которые должны иметь доступ в инет, создаешь разрешающие правила iptables. Процесс описан sborodin. Доступ в инет получат тока эти айпи, остальные тока по лан-лан смогут ходить..
3. создаешь таблицы years, chains, traffic, users в скулайте.
years - два поля, см. sborodin. Записи вида:
1|2008

chains - два поля, значения - порядковые номера и список имен всех цепочек iptables, в которых прописаны правила для пропускаемых айпи. Например:
1|chain99 - здесь chain99 - имя цепочки в разделе FORWARD iptables

traffic - см. пояснения sborodin. Записи вида:
2008|7|23|23|55|5|chain66|121139|37157

users - два поля, значения - имя цепочки и сопоставляемое имя пользователя. Записи вида:
chain60|Servis

4. скрипт ipt.sh привязываешь к крону (тока не забудь поправить пути к файлам).
5. скрипты traffic.cgi и traf.cgi ложишь в веб-папку вебсервера, например, упомянутого lighttpd. Стилевик, соответственно, в подпапку css.
В этих скриптах тоже нуна поправить пути, имя файла базы...

В итоге скрипт ipt.sh снимает цифирь с цепочек, обнуляя их каждые <скока там ты задал> минут. пишет в базу.
А из браузера ты смотришь результаты.
iXen
29-08-2008, 11:00
Подскажите как ограничить скорость интернета для устройств подключеных через wi-fi к WL500g.Premium? Желательно чтобы скорость доступа к сетевым компьютерам осталась возможно максимальная.
Less
28-11-2008, 13:29
1. Ставишь, cron, sqlite и bash через ipkg, а, блин, забыл указать еще lighttpd - встроенный web-сервер не потянет cgi.
2. для тех айпишников, которые должны иметь доступ в инет, создаешь разрешающие правила iptables. Процесс описан sborodin. Доступ в инет получат тока эти айпи, остальные тока по лан-лан смогут ходить..
3. создаешь таблицы years, chains, traffic, users в скулайте.
years - два поля, см. sborodin. Записи вида:
1|2008

chains - два поля, значения - порядковые номера и список имен всех цепочек iptables, в которых прописаны правила для пропускаемых айпи. Например:
1|chain99 - здесь chain99 - имя цепочки в разделе FORWARD iptables

traffic - см. пояснения sborodin. Записи вида:
2008|7|23|23|55|5|chain66|121139|37157

users - два поля, значения - имя цепочки и сопоставляемое имя пользователя. Записи вида:
chain60|Servis

4. скрипт ipt.sh привязываешь к крону (тока не забудь поправить пути к файлам).
5. скрипты traffic.cgi и traf.cgi ложишь в веб-папку вебсервера, например, упомянутого lighttpd. Стилевик, соответственно, в подпапку css.
В этих скриптах тоже нуна поправить пути, имя файла базы...

В итоге скрипт ipt.sh снимает цифирь с цепочек, обнуляя их каждые <скока там ты задал> минут. пишет в базу.
А из браузера ты смотришь результаты.

И всё таки кто пользуется таким методом и новыми скриптами, можете написать подробную инструкцию по настройке?
ipt.sh
В скрипте очень странно почему используются две разные бази и какие тогда в них таблицы?


...
function chain2id
{
sql="select * from chains where chain='$1';"
id=$( /opt/bin/sqlite3 /opt/tmp/traf.db "$sql" | cut -d "|" -f1 )

...
/opt/bin/sqlite3 /opt/var/sqlite/iptables.db "$sql"
...
LazyUser
03-12-2008, 09:39
Проблема следующая: нужно ограничить скорость DOWLOAD и UPLOAD для определенной машины в сети. Как это можно сделать?
Поиском пользовался, нашел посты по QoS и шейперам, но 80% из того что там обсуждают мне не понятно.
Есть ли какой-нибудь простой незамысловатый способ решить проблему?
revenant
21-12-2008, 21:30
Извените пожалуйста, а можно написать все попорядку для lighttp какие настройки должны быть и куда положить эти файлы и как запускать?
skelet
22-12-2008, 17:07
Извените пожалуйста, а можно написать все попорядку для lighttp какие настройки должны быть и куда положить эти файлы и как запускать?
вообще порядок действия примерно такой:
1) устанавливаете пакет (lighttpd)
2) редактируете .conf файл , в данном случае /opt/etc/lighttpd/lighttpd.conf в соответствие с вашими запросами
3) запускаете сервер, если что-то не так, то п2, если норм, то
4) прописываете скрипт старта (в данном случае S80lighttpd ) в /opt/etc/init.d , и, возможно, редактируете его

а вообще конечно на такой вопрос могут и в ртфм послать :p
wildDAlex
29-12-2008, 07:15
Добрый день!
Стоит такая задача. К роутеру подключено два ПК. На один из них необходимо поставить 2 ограничения:
1. По ширине канала. То есть из имеющихся 512кб скажем, выделить ему канал в 128кб.
2. По достижению определенного месячного траффика этому ПК более доступ до конца месяца не предоставлять.
Подскажите, как можно реализовать сию задумку?
wildDAlex
30-12-2008, 07:00
Неужто совсем никак?
wildDAlex
03-01-2009, 14:28
Ап. Хоть в какую сторону копать можно? Чую, что должно быть возможно урезать канал для одного из интерфейсов.
Vetal2
04-01-2009, 22:20
Всем доброй ночи (или чего там у вас за окном).

Имею следующую проблему...
На неизвестном количестве компьютеров подключенных к WL500gP завелся какой-то мерзкий вирус. Который шлет большое число запросов, настолько большое, что интернет везде жутко тормозит, а про работающие пинги можно вообще забыть. Роутер это безобразие еще с грехом пополам переживает, но вот модему конкретно плохеет, у бедняги CPU Load достигает 80%, а пакеты, которые он не успевает обрабатывать просто рубятся.
При отключении от роутера всех компьютеров кроме моего все тут же приходит в норму, при этом число подключенных клиентов максимум 6, торрентами никто не качает, да и от торрентов такого жуткого эффекта быть не может. Итого у меня предположение только одно - вирус.
Число зараженных компьютеров неизвестно, поэтому метод обнаружения подлеца "выдергивай из свича провода пока все не заработает" не катит, да и свич труднодоступен.
В общем хотелось бы как-то посмотреть статистику обращений по IP или MAC к роутеру из LAN в реальном времени. Желательно по портам.

Может кто-нибудь подсказать чем и как это можно сделать?
net_net
05-01-2009, 16:29
по портам наверно не получится, да и зачем, если по ip все будет видно когда выполнишь команду


tcpdump -i br0 -n
deemcee
10-01-2009, 00:08
Доброго времени суток!
Есть ли возможность ограничить скорость на определенный компьютер?
Wi-Fi пользуются 3 человека один из которых уж очень "жрет" скорость.
Необходимо урезать ему канал.
Как сделать это?
Прошивка 3.0.0.2 официальная.
Crash
13-01-2009, 14:37
Такая же проблема.
soloveich
14-01-2009, 01:14
На сколько я понял, можно сделать в разделе Bandwidth Management. Прошивка от Олега, на счет оригинальной не берусь утверждать.
vitt909
17-01-2009, 06:04
Уважаемые Гуру! Может быть кто подскажет, имею следующую задачку... Аппарат WL-500W, прошивка 1.9.2.7-10, подключен к Корбине через PPTP, большой PC подключен кабелем через LAN и два ноутбука по WiFi - все настроил в соответствии с инструкцией на сайте, все отлично работает... Но появилась необходимость ограничивать выход в интернет по времени на ноутах (дети), т.е. например в сутки - по 3 часа, а дальше выход должен быть запрещен автоматически. Т.е. отработал один ноут 3 часа - отрубили, второй отработал - тоже самое... Возможно ли вообще решить такую задачку с помощью данного устройства?
DfDf
19-01-2009, 00:42
Для начала определите - что вы понимаете под термином "отработал"? Формализуйте. Например, так: сегодня, 1го числа пришел пакет в интернет от ком-ра 1. Разрешили ему выход на 3 часа. Или: сегодня, 1го числа, для ком-ра 1 пришло 256784 пакетов из WAN, общее затраченное на передачу время составило 3 часа - закрываем ком-ру 1 выход в инет. Мысль улавливаете? :)
vitt909
19-01-2009, 07:17
По-моему, улавливаю... Вы имеете ввиду - пришел ребенок, запустил комп №1, комп автоматически вошел в сетку по WiFi (соединился с роутером), принял там какие-то пакеты и время пошло, а ребенок, собственно и не выходил в инет, он просто в ворде доклад для урока географии писал... Так?:) Ну хорошо, Вы правы, но ведь здесь я смогу объяснить ему, что время идет, когда подключен WiFi. Т.е. : "нужен инет - подключай WiFi соединение, ненужен - отключай, не отключишь - "временной счетчик будет продолжать тикать". Тогда задачу можно было бы формализовать так - 2 часа суммарно в сутки при подключенном WiFi соединении... Т.е. мне бы это видилось так: пришел ребенок из школы, запустил комп #1, работает в ворде (счетчик времени не работает), захотел в аську - подключил WiFi, счетчик включился, посидел в аське час, пошел гулять (при этом отключил WiFi, тогда счетчик выключился), пришел и снова захотел в инет поиграть в игру по сети - снова включил WiFi - счетчик начал отсчет со второго часа, там, где он остановился в первую сессию. Проходит 120-я минута, но WiFi по-прежнему включен, тогда роутер автоматически отрубает комп №1 до начала следующих суток. Вот так я вижу эту задачку...
roman979
19-01-2009, 12:21
Проблема следующая: нужно ограничить скорость DOWLOAD и UPLOAD для определенной машины в сети. Как это можно сделать?
Поиском пользовался, нашел посты по QoS и шейперам, но 80% из того что там обсуждают мне не понятно.
Есть ли какой-нибудь простой незамысловатый способ решить проблему?

+1 тоже надо разделить 10мбит по 2 мбита на 5 компов
roman979
23-01-2009, 12:14
не могу понять, как разрешить доступ в инет, а также внутренним ресурсам провадера только определенным ip домашней сети.
поиском ничего не нашел. как работает ваервол в вебоболочке не понятно.
DHCP на роутере отключил
AndreyPopov
23-01-2009, 13:24
не могу понять, как разрешить доступ в инет, а также внутренним ресурсам провадера только определенным ip домашней сети.
поиском ничего не нашел. как работает ваервол в вебоболочке не понятно.
DHCP на роутере отключил

ну так НЕ надо тем IP , которые НЕ должны ходить в Инет прописывать DefaultGateway
roman979
23-01-2009, 13:37
ну так НЕ надо тем IP , которые НЕ должны ходить в Инет прописывать DefaultGateway

в роутере или на их компах?
если в роутере то где? я там вообще не прописывал ipшники, кроме пробросов портов
AndreyPopov
23-01-2009, 13:47
в роутере или на их компах?
если в роутере то где? я там вообще не прописывал ipшники, кроме пробросов портов

ну если бы сказали о каком роутере речь идет и с какой прошивкой - то раздел Internet Firewall -> MAC filter еще никто не отменял.

да и в вашем случае было бы проще сделать так:
на ваше карте прописать ДВА IP адреса:
192.168.1.10 для соседей
и 192.168.100.10 для доступа в Интернет и роутеру прописать 192.168.100.254 к примеру (и соседям об этом не говорить ;) )
roman979
23-01-2009, 15:12
ну если бы сказали о каком роутере речь идет и с какой прошивкой - то раздел Internet Firewall -> MAC filter еще никто не отменял.

да и в вашем случае было бы проще сделать так:
на ваше карте прописать ДВА IP адреса:
192.168.1.10 для соседей
и 192.168.100.10 для доступа в Интернет и роутеру прописать 192.168.100.254 к примеру (и соседям об этом не говорить ;) )

WL500gpv2
прошивка 1.9.2.7-10

мас фильтр я видел, но хотелось бы именно по ip
у меня до асуса был роутер эдимакс,так там в настройках фаервола можно было настроить доступ как по мас так и по ip.
странно, что у роутера в 2 раза дороже асуса нет возможности настройки доступа по ip.
AndreyPopov
23-01-2009, 15:15
WL500gpv2
прошивка 1.9.2.7-10

мас фильтр я видел, но хотелось бы именно по ip
у меня до асуса был роутер эдимакс,так там в настройках фаервола можно было настроить доступ как по мас так и по ip.
странно, что у роутера в 2 раза дороже асуса нет возможности настройки доступа по ip.

если вы не видите, то это не значит, что его нет!

у вас же есть в Internet Firewall -> LAN to WAN filter - по умолчанию он отключен, но никто ж не мешает вам его включить!

P.S. только никак не пойму зачем вам это, когда все решается на много проще! или это из принципа:
у меня до асуса был роутер эдимакс
Pasha_01
19-02-2009, 10:11
Как ограничить однолго юсера только интернетом ?
DafT
19-02-2009, 10:37
прикрыть локальные сети через iptables по макадресу юзера =)
Pasha_01
19-02-2009, 12:33
Извините, а по ламерски можно, просто вникать нету времени абсолютно... а задачу надо срочно решить
avp66
19-02-2009, 12:49
в вебинтерфейсе включить фильтрацию по мак
DafT
19-02-2009, 12:49
iptables -A OUTPUT -i <имя интерфейса> -m mac --mac-source <мак адресс> -d <запрещенная подсеть> -j DROP

P.S. на роутере Linux то что вы хотите сделать это уже можно отнести к тонкой настройкой фаервола, такшто прийдется в любом случае разбираться.:o
DafT
19-02-2009, 12:50
в вебинтерфейсе включить фильтрацию по мак

и заблокировать человека на совсем, вы хоть первый пост полностью прочитали?:o
avp66
19-02-2009, 12:58
и заблокировать человека на совсем, вы хоть первый пост полностью прочитали?:o

аа, сорри:) надо локалку запретить что ли?)
Pasha_01
24-02-2009, 12:18
-------Top Forum-------
Хотелось-бы грамотного ответа
Pasha_01
02-03-2009, 12:44
как
Заблокировать доступ к шарам одному ПК ????
vectorm
02-03-2009, 17:35
как
Заблокировать доступ к шарам одному ПК ????
Шарам чего? Где?
На роутере можно либо конфигом Самбы, либо с помощью iptables.
Pasha_01
31-03-2009, 15:27
Как ограничить однолго юсера только интернетом???
vectorm
31-03-2009, 18:56
Как ограничить однолго юсера только интернетом???
Поиск не работает???
Только на днях подобную тему обсуждали.
Pasha_01
31-03-2009, 19:44
Где обсуждали??? Ссылку в студию!!!
baldahin
18-04-2009, 12:51
Привет, уверен, что этот вопрос уже поднимался, но найти не смог - трудно подобрать ключевые слова.
Хочу, что бы мой wi-fi был открыт для всех (и пускал в интернет), но при этом, чтобы не было доступа к хостам в моей локалке (задать по MACам)


есть Wireless - Access Control, но там можно только заблокировать доступ к wi-fi вообще.
есть Internet Firewall - MAC Filter, но там можно только запретить доступ определенных MACов в интернет.
vectorm
18-04-2009, 15:35
Привет, уверен, что этот вопрос уже поднимался, но найти не смог - трудно подобрать ключевые слова.
Хочу, что бы мой wi-fi был открыт для всех (и пускал в интернет), но при этом, чтобы не было доступа к хостам в моей локалке (задать по MACам)


есть Wireless - Access Control, но там можно только заблокировать доступ к wi-fi вообще.
есть Internet Firewall - MAC Filter, но там можно только запретить доступ определенных MACов в интернет.
Можно поставить dd-wrt, там wi-fi отделяется от локалки настройками в веб морде.
На прошивке Олегаа это делается с помощью iptables, через консоль, руками.
baldahin
19-04-2009, 23:14
vectorm, спасибо за пояснения.

может быть кто-то ткнет пальцем в howto по настройке iptables таким образом?
palm
20-04-2009, 19:02
vectorm, спасибо за пояснения.

может быть кто-то ткнет пальцем в howto по настройке iptables таким образом?

Навскидку правило такое :

iptables -I FORWARD 1 -i eth1 -o vlan0 -j DROP

Другими словами, все пакеты с WiFi (eth1) поступающие на все локальные порты (vlan0), будут отброшены. Правило будет первым в цепочке FORWARD, таблицы filter.
Мануал по iptables, на русском языке, можно посмотреть тут (http://ftp.linux.kiev.ua/pub/docs/mirrors/gazette.linux.ru.net/rus/articles/iptables-tutorial.html).

Расшарить WiFi можно в вебморде :
Wireless-> Interface-> Authentication Method-> Open System

P.S. Сам не проверял-чисто теоретически :)
al37919
20-04-2009, 19:21
а что будет, если пакет поступит с br0? ( br0=vlan0+eth1 ), поэтому также чисто теоретически пакет WLAN->LAN придет с br0 и отправится на br0...

Не придется ли для решения этой задачи разбриджевать br0?
palm
20-04-2009, 19:46
а что будет, если пакет поступит с br0? ( br0=vlan0+eth1 ), поэтому также чисто теоретически пакет WLAN->LAN придет с br0 и отправится на br0...

Не придется ли для решения этой задачи разбриджевать br0?

Самая точная наука, это-вскрытие :)
palm
21-04-2009, 16:19
Вскрытие показало, что al37919 прав, и одного правила для решения задачи недостаточно. А эксперименты с мостом проводить чего-то не хочется.
Paul_T
23-06-2009, 10:35
Поиском пользовался, похожие темы есть, но ничего внятного.
Тем более с линуксом особо не дружу.
Вообщем, помогите....

Имеем WL-500GPV2, прошивка Олега 1.9.2.7-10.
Настроен Wimax модем Yota.
Все работает.

Но есть желание сделать так, чтобы часть локальных ip видела ресурсы локалки и интернет, а другая часть только интернет.
Т.е. Нужно выделить группу локальных IP, которым будет не доступны ресурсы локальной сети.

Как правильно прописать маршруты?
Заранее спасибо.
Less
23-06-2009, 11:25
Если адреса роздаёт роутер то можно добавить правила в iptables FORWARD -j DROP и пакеты небудут ходить между компами.

Или вынести их в отдельный vlan но тут всё сложнее.
Paul_T
23-06-2009, 12:50
Если адреса роздаёт роутер то можно добавить правила в iptables FORWARD -j DROP и пакеты небудут ходить между компами.

Или вынести их в отдельный vlan но тут всё сложнее.

Спасибо. Подумаю/попробую...
Конкретизирую...
IP, которые видят инет и локалку могу прописать руками, IP, которые видят только инет раздаются роутером...
Чую, что надо отдельный vlan, но как не знаю...
Логика понятна, а как воплотить не знаю...
Less
23-06-2009, 13:23
Тут (http://wl500g.info/showthread.php?t=13643&highlight=%EB%EE%EA%E0%EB%FC%ED%E0%FF) можно подсмотреть чуток.
frolexx
20-12-2009, 18:45
Есть роутер, прошитый 1.9.2.7-d.
Есть два PPPoE соединения. Нужно ограничить доступ таким образом, что бы подключающиеся через WiFi могли пользоваться только одним из них, а только заранее определенные - обоими. Также нужна статитика по трафику через каждое из них и жалательно по пользователям)
Как это лучше сделать?
Сейчас установлен из http://wl500g.info/showpost.php?p=167420&postcount=1 скриптом софт. ПОмоги пожст.
Lupo_Alberto
20-12-2009, 18:53
Настроить iptables
Saymer
24-03-2010, 15:21
Собственно проблема такая, гуглил в инете, искал на форуме, перечитал тему http://wl500g.info/showthread.php?t=13877&page=2, там предлагают использовать шейперы. Не вариант.

Имеется роутер D-Link DIR-320 прошитый прошивкой от энтузиастов.
Имеется VPN подключение (провайдер 2 КОМ). Тариф 100МБит (лимитный)
Есть дома 2 компьютера и сосед. Хотелось бы сделать так, что бы на 2 компьютера было 100 мегобит, всякие шейперы не так важны, второй комп практически не включается.
Что с соседом. Хочется сделать, что бы у него инет был где то не более 10 Мегобит, не зависимо от того, занят канал или нет. А в идеале мегобит 5 (ну в районе 5-10) постоянно, железно.
Можно ли это как то сделать в настройках роутера, или нужно по любому устанавливать стронний софт? Нужна флешка, а разъем занят, не вариант.
На форуме я так понял, такого вопрса ни у кого не возникало, хочется найти простой вариант решения этой оч важной проблемы.
Всем заранее спасибо.
ceramic
24-03-2010, 17:47
...
Имеется роутер D-Link DIR-320 прошитый прошивкой от энтузиастов.
Имеется VPN подключение (провайдер 2 КОМ). Тариф 100МБит (лимитный)
Есть дома 2 компьютера и сосед. Хотелось бы сделать так, что бы на 2 компьютера было 100 мегобит, всякие шейперы не так важны, второй комп практически не включается.
...
Можно ли это как то сделать в настройках роутера, или нужно по любому устанавливать стронний софт? Нужна флешка, а разъем занят, не вариант.

Стронний софт ставить не нужно -- покупайте другой роутер. Этот такой скорости и близко не даст.
Saymer
24-03-2010, 17:49
Стронний софт ставить не нужно -- покупайте другой роутер.

А что по проще ни как? Тут на форуме такие вещи на этой прошивки люди делают, а тут вы говорите что так просто нельзя. Ну я могу ответить покупать не нужно, достаточно прошиться родной прошивкой от Д линк, там эта функция ограничения есть и оч даже действует :D
smi
24-03-2010, 18:13
Ну я могу ответить покупать не нужно, достаточно прошиться родной прошивкой от Д линк, там эта функция ограничения есть и оч даже действует :D 100Mbit через VPN? Ну-ну :D
Saymer
24-03-2010, 18:19
100Mbit через VPN? Ну-ну :D

Ну я ради прикола на месяц тариф взял, ну а не так всё и плохо, по спидтесту 40 утром было, из локалки тянул файл через браузер с сервера, 4,5 мегобайта (примерно 36 мегобит получается вроде как )

Ну а по теме если, как можно скорость обрезать?
ceramic
24-03-2010, 20:08
Ну я ради прикола на месяц тариф взял, ну а не так всё и плохо, по спидтесту 40 утром было, из локалки тянул файл через браузер с сервера, 4,5 мегобайта (примерно 36 мегобит получается вроде как )
Каким боком тут локалка??? в исходном сообщении было:

Имеется VPN подключение (провайдер 2 КОМ).
По локалке и больше может быть.

Ну а по теме если, как можно скорость обрезать?
По теме, прежде всего, было:

Хотелось бы сделать так, что бы на 2 компьютера было 100 мегобит,...
Вы определитесь для начала, чего надо.
Saymer
25-03-2010, 09:38
А, теперь понял. Просто на другом провайдере локалка была, а на этом пару дней не привык ещё к этому впн.
Ну значит имеется подключение по впн, скорость интернета зависит от тарифа, ну будет считать 10 Мегобит канал интернет, и есть локальные ресурсы, скорость ограниченна 100 мегобитами, ну если напрямую в комп, черзе роутер понятно меньше.

Есть компьютер, IP 192.168.1.120 например. Хочется сделать что то вроде шейпера на 5 мегобит. Ну т.е. что бы у него всё работало в районе 5 и он не забивал мой канал.
Если это можно сделать через Bandwidth Management -> Bandwidth Management, то вопрос как. Пробовал, но я так понял, что нужно именно конретный порт указать, а я же не могу знать, по какому порту он качает :D

З.Ы. тут смотрел по прошивке, нашел что можно задавать диапазон 1-65534 в таком виде 1:65534.
Возник вопрос, а прокатит ли если в Bandwidth Management завать так
Адрес порт Скорость MAX Скорость MIN
192.168.1.120 1:65534 5000 1

В данный момент на работе, проверить в действии это не могу, буду дома проверю. Но если это сработает, это то что я и искал будет