View Full Version : wl500gx filtering bridge
интересует ЧТО можно сделать в сабжевом роутере дабы превратить его в обыкновенную точку доступа с возможностью фильтрации по Wan, Lan и Wlan портам?
какой чип используется в сабжевом роутере и есть ли вариант собрать под него фряшный мини сервачок, т.к. во фряшном варианте не надо никаких патчей дабы заполучить фильтрующий мост...
т.к. ответ был в ангицком форуме, продолжим беседу в русском;)
а зачем собсно нужен ebtables? как я понял он позволяет фильтровать MAC адреса, что например мне сооовсем не надо, т.к. у меня во фряшном фильтре практически одно из первых правил - правило пропуска ARP пакетов... мне надо только отфильтровать бродкасты + MF M$ windows сеть, т.е. все что идет на my.net.ip.255 + TCP/UDP 135,137-139,369,445 и все! о большем и мечтать не хочется... если не сложно - подскажешь как сделать собственный фирмварь с зашитым подобным функционалом на базе твоего? будешь выкладывать его как bridge-version глядишь кому и пригодится, а именно тем кто как и я устал от D-Link-a о том что будет внутри фирмвари можно поговорить, т.к. я бы хотел всунуть туда например скрипт просмотра уровня сигнала клиентов сразу же, а не писать потом ну и прочие полезные мелочи...
Олег, пожалуста помоги с созданием WL500gx-1.9.2.7-4-bridge.trx
как я понял надо слеать примерно следующее:
- выкинуть всю WAN ерунду (сохранение места на флешке под snmpd :) )
- забриджевать все 3 интерфейса в один (это даст 1 общий IP адрес и позволит отказаться от маршрутизации что разгрузит проц)
- сделать так чтобы можно было фильтровать все пакеты проходящие через бридж
З.Ы. Олег, как твоя фирмварь дружит с вебом? может стоит его переписать под bridge версию и как можно "форматнуть" flashfs чтобы иметь там ТОЛЬКО твою фирмварь, а то после экспериментов у мя там всякие левые конфиги валяются и т.д. да и проклятый эксперимент с флешкой (она глюкнутая, с нее запросто можно читать, а вот писать не дает, хотя мой wl500gx так не думал) привел к умиранию папки ftp_pub после чего фтп начинает работать только если создать ее руками
Если в кратце, то bridge вообще-то это layer2, а обычный firewall (iptables) в линуксе работает на Layer 3 (IP). Поэтому и нужен brnf патч, который делает L2 пакеты видимыми iptables.
А насчёт чистки флешки -
# Чистка nvram
nvram erase /dev/mtd/3
# Чистка flashfs
flashfs erase
reboot
Этот код прошивку не трогает, поскольку она находится в другом разделе флеша и не модифицируется иначе как в процессе апгрейда (это ядро + r/o файловая система).
Насчёт изготовления порезанной прошивки. Я начал добавлять ebtables с патчем для netfilter в прошивку и даже сделал это. Но в какой-то момент Snufkin обнаружил, что происходит то, чего мне не нужно и встроенный фаервол не понимает - через него пошли все LAN/WLAN пакеты. И это никак не изменить, иначе как перекомпилировав прошивку. В результате не получается сделать так, чтобы было хорошо всем. :) Поэтому я вырезал этот код и пожалел о потраченном времени. В дополнение, это ещё сильнее уменьшит скорость рабоыт.
Кстати, на LAN портах wl500g - свитч, так что там ничего порезать не удастся. Вот в deluxe каждый и портов можно загнать в отдельный VLAN.
Я советую не пытаться сделать это из моей прошивки (тем более, если не нужен web интерфейс), а посмотреть в сторону http://www.openwrt.org
Там уже есть так нужный патч для подобной фильтрации, а файловая система доступна для записи.
[admin@(none) root]$ flashfs erase
Usage: /sbin/flashfs status|enable|disable|clear|load|list|save|commit оно не хотит :( а играться с данной командой меня что-то не прельщает... впрочем так или иначе - СПАСИБО!
Если в кратце, то bridge вообще-то это layer2, а обычный firewall (iptables) в линуксе работает на Layer 3 (IP). это я понимаю, но мне как раз и надо больше фильтровать layer3 т.к. для layer2 есть умные свичики ;)
Вот в deluxe каждый и портов можно загнать в отдельный VLAN HOWTO пожалуйста ;)
в общем повторюсь опять - я хочу фильтровать 3 источника между собой: LAN, WAN и WLAN, т.е. чтобы пакеты между ними всеми ходили отфильтрованными, при этом пакеты 3-го уровня... я просто неверно выразился :confused: bridge - это действительно layer2 (просто я так его назвал по аналогии с др. АР которые есть суть бриджи а не роутеры) но мне надо фильтровать _только_ IP пакеты сиречь layer3, заморачивать себе и асусу голову фильтрацией МАСов - это глупо и нужно только на WLAN интерфейсе, да и то не факт, т.к. хочется RADIUS-a :rolleyes: ... вопрос в том как отключить все ненужные сервисы и оставить только 1 IP адрес на устройство+iptables+wondershaper+ftp? я думаю все остальное можно в /dev/null
З.Ы. сори за задержку - форум не уведомил об ответе :mad:
[admin@(none) root]$ flashfs erase
Usage: /sbin/flashfs status|enable|disable|clear|load|list|save|commit оно не хотит :( а играться с данной командой меня что-то не прельщает... впрочем так или иначе - СПАСИБО!
Очепятка, д.б. flashfs clear.
это я понимаю, но мне как раз и надо больше фильтровать layer3 т.к. для layer2 есть умные свичики ;)
Мост (бридж) - это layer 2. Layer 3 - маршрутизатор.
HOWTO пожалуйста ;)
Чуть позже. И потом, что Вы с ними делать-то будете? :) Стандартная прошивка всё равно, кроме двух стандартных vlan ничего не понимает...
в общем повторюсь опять - я хочу фильтровать 3 источника между собой: LAN, WAN и WLAN, т.е. чтобы пакеты между ними всеми ходили отфильтрованными, при этом пакеты 3-го уровня... я просто неверно выразился :confused: bridge - это действительно layer2 (просто я так его назвал по аналогии с др. АР которые есть суть бриджи а не роутеры) но мне надо фильтровать _только_ IP пакеты сиречь layer3, заморачивать себе и асусу голову фильтрацией МАСов - это глупо и нужно только на WLAN интерфейсе, да и то не факт, т.к. хочется RADIUS-a :rolleyes: ... вопрос в том как отключить все ненужные сервисы и оставить только 1 IP адрес на устройство+iptables+wondershaper+ftp? я думаю все остальное можно в /dev/null
З.Ы. сори за задержку - форум не уведомил об ответе :mad:
Не путайте IP пакет и уровни. Да, на Layer2 тоже виден IP пакет, но он там инкапсулирован внутрь Ethernet пакета, поэтому в обычном случае он не обрабатывается. Вот если он поднимется до третьего уровня (т.е. маршрутизации или с помощью вышеуказанного патча), то да, iptables его увидят.
Что делать: установить другую прошивку - http://www.openwrt.org. Нужен experimental build. Я серьёзно. На deluxe она работает без проблем, я там кое-чем помогаю, например vlanами. :)
что Вы с ними делать-то будете? хочу использовать его как точку доступа (Access Point) с фильтрацией (censored) мракософтовсокого траффика, т.е. отфильтровать порты: TCP/UDP 137,138,139,369 и 445 (ну мож еще blaster какой ;) ) - так понятнее? все, больше я ничего от железки не хочу! разве что скриптик просмотра уровня сигнала порой запускать :p
Да, понятно. Но это ничего не меняет. :) Этот как раз и есть bridge. Все интерфейсы склеиваются, iptables пакетов не видит. Кроме пакетов, адресованных самой wl500g. :)
iptables пакетов не видит. Кроме пакетов, адресованных самой wl500gа вот это и не есть гуд! :( вот например сейчас у меня стоит комп на фряхе настроеный фильтрующим мостом, т.е. 1-е правило стены пропускать МАС адреса, а дальше идет рубание шашкой всех кого не лень и под конец всем все можно, но уже без NETBIOS сотоварищи мусора :p
Я рад, что мои объяснения наконец стали понятны. :)
ткни плииз носом в ebtables или что там такое есть под openwrt, то что на твой взгляд будет работать... кстати, а как работают вланы на openwrt? какие они вообще? 802.1Q или port based?
Ну народ... Google слабо использовать?
http://ebtables.sourceforge.net/
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
Ключевые слова brnf patch
про man google я в курсе ;) просто я думал что модуль для ipkg есть или что-то в этом духе... как я понял - надо будет сорцы патчить и пересобирать фирмварь, так?
ну глянь же openwrt наконец. там уже всё собрано и есть ipkg разные. :)
ebtables - есть суть патч для ядра, так? тогда FW по любому придется пересобирать... я же и попросил носом ткнуть в использование ebtables под openwrt, т.к. поиски по их форуму и вики ни к чему не привели :(