В веб морде Internet Firewall => MAC Filter
Ламерский вопрос, но всетаки.
Мой роутер - WL-500g Premium. Я хочу полностью запретить одному МАС-адресу в LAN роутера доступ в WAN, а также из WAN. Но оставить устройству доступ в LAN роутера. Как мне это сделать?
В веб морде Internet Firewall => MAC Filter
К сожалению, при использовании Internet Firewall\MAC Filter блокируется весь LAN-трафик компьютера, с указанным MAC-адресом. По, крайней мере именно так происходит на моем WL550gE (прошивка 1.9.2.8).
Может уважаемый Олег, сможет модифицировать прошивку, чтобы блокировался именно WAN-трафик для требуемых MAC-адресов локальной сети? Есть ли у к кого-нибудь альтернативные решения этой проблемы?
Заранее благодарен, Дмитрий.
Попробуйте добавить в post-firewall подставив вместо X правильную цифру
iptables -I FORWARD -o ppp0 -s 192.168.1.X -j REJECT
mac можно привязать к IP, например через DHCP
Если бы в прошивке был модуль ipt_mac , то можно было бы рулить непосредственно по mac
Last edited by al37919; 02-12-2007 at 15:14.
Если я не ошибаюсь использование MAC-filter в web-интерфейсе приводит к тому, что появляется цепочка MACS в которой и происходит фильтрация по mac адресам, что-то типаНо как уже отмечено выше фильтр обрубает доступ совсем.Code:... iptables -A INPUT -i br0 -j MACS iptables -A FORWARD -i br0 -j MACS ... iptables -A MACS -m mac --mac-source 00:11:25:47:00:56 -j RETURN ... iptables -A MACS -j DROP
Поэтому можно попробовать правилоЕсли добавлять правило в скрипт post-firewall, то Имя_WAN интерфейса заменить на $1.Code:iptables -I FORWARD 1 -o Имя_WAN -m mac --mac-source mac_адрес -j DROP
Last edited by Ilmarinen; 02-12-2007 at 15:41.
al37919 спасибо за совет.
После просмотра документации по iptables, проверил MAC-фильтрацию по команде:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
Отработало нормально и интернет трафик вроде блокирует.
Остались вопросы:
1. Правильно так блокировать интернет по MAC-адресу, с точки зрения корректности/безопасности или нужно, как-то изменить/дополнить правила фильтрации?
2. На мой взгляд, конечному пользователю, было бы более удобным блокирование Интернет трафика через Internet Firewall\MAC Filter вэб-страницы.
С уважением, Дмитрий
Ваш вариант в принципе правильный, если не менять стандартные правила среди которых естьпропускать весь трафик локальной сети.Code:iptables -A FORWARD -i br0 -o br0 -j ACCEPTЕсли Вам необходимо достаточно часто менять mac-адреса и Вам нужно блокировать только выход за пределы LAN, то можно в post-firewall подкорректировать правило2. На мой взгляд, конечному пользователю, было бы более удобным блокирование Интернет трафика через Internet Firewall\MAC Filter вэб-страницы., (по-моему оно первое) заменив его наCode:iptables -A FORWARD -i br0 -j MACSВ этом случае действие mac-filter будет распространяться только на пакеты идущие за пределы LANCode:iptables -R FORWARD номер_правила -i br0 -o $1 -j MACS
Last edited by Ilmarinen; 02-12-2007 at 16:34.
да, действительно -m mac доступен, я не разобрался что в одном списке (man iptables) идут и встроенные модули и внешние
Говоря о "корректности/безопасности" я забыл сказать, что, к сожалению, запрещающее правило по mac-адресу очень легко обходится сменой mac-адреса. Можно этот обход усложнить, разрешив работу в сети только определенным mac-адресам, но принципиально ничего не мешает поменять mac-адрес на один из адресов списка и работать пока другой хост отключен. Решить это можно только привязкой mac-адреса к порту коммутатора, что на wl500g сделать достаточно сложно (если конечно вообще возможно). К сожалению, из постановки задачи не ясно с какой целью нужно ввести запрет на выход хоста с определенным mac-адресом за пределы LAN.
У меня возникла проблема - после установки маршрутизатора перестала работать программа доступа к статистике второго(резервного), подключенного через аналоговый модем напрямую к компьютеру, диалапного провайдера.
В хелпе к программе нашел такой пункт:
"Виват Ассистент(Golden Telecom) - Если программа все время находится в режиме ожидания, то возможно: настройки вашего фаервола, не позволяют соединиться программе с сервером статистики https://statserv.mplik.ru по 443 порту. "
Причем вручную на страничку статистики захожу нормально, а через программу - не фига ...
Пытался открыть порты TCP-UDP 443 в разделе виртуальный сервер - все равно не работает.
Подскажите, как в Asus WL-500gp осуществить то что написано в вышеприведенной цитате ?
Думаю, что Вам следует обратится в саппорт этого провайдера. Раз уж у Вас всё ручками открывается...
Будучи неудовлетворенным предложенными решениями по подсчету траффика,
я написал простенький скриптик на баше, который рисует
таблички в виде хтмл-странички, выдергивая данные из sqlite базы.
Кому интересно - см. вложенный архив. Там есть скрипт, который пишет в
базу раз в 5 минут, скрипт, который, собссно, рисует таблички и пара
sql-ев для создания таблиц в базе.
Из-за невысокой мощности коробочки пришлось пойти на некоторую
"избыточность" базы, в смысле правил нормализации, иначе она недопустимо
долго делает выборку.
Ну, естессно, кому не лень что-то подправить - вперед. Я не программист
и не особо старался что-то соптимизировать, а кодировать хтмл считаю
как "западло" .
если уж сделали, то будте, уж, любезны faq написать.............
Да там, вроде, все примитивно-просто: кладете 'traffic' в какую-нить
cgi-bin, а tr.css в ../css, ipt.sh в куда-нить, где роется cron - у меня
лежит в /opt/etc/cron.5m - считывает iptables раз в 5 минут.
Предварительно надо, конечно, создать базу и таблички:
cat /opt/tmp/имя-скрипта.sql | /opt/bin/sqlite3 /opt/var/sqlite/iptables.db
Понятно, что надо настроить цепочки в iptables, которые считают траффик,
но об этом уже много раз писали - нет смысла повторять.
Я кстати, забыл положить css, и нашел мелкую ошибочку.
Исправления во вложении.