Page 1 of 7 123 ... LastLast
Results 1 to 15 of 98

Thread: Фильтрация и привязка IP по МАС адресу

  1. #1
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788

    Post Фильтрация и привязка IP по МАС адресу

    Фильтрация и привязка IP по МАС адресу

    Про то, как подключится к роутеру через телнет и как работать с текстовыми файлами я не буду писать, на форуме инфы должно быть полно, остановимся на основных моментах. Значится так.

    Первое. Нам нужно будет подсунуть свой файл с привязками ip-mac DHCP серверу, роль которого на роутере исполняет dnsmasq. Если ассоциации положить в файл /usr/local/etc/ethers то прошивка автоматически добавит его содержимое к рабочему файлу /etc/ethers при составлении оного основываясь на настройках веб-интерфейса. Поэтому сей список будем вести именно в том файле.

    Второе. Нужно сделать фильтрацию трафика по mac адресам. И как я понял при фильтрации не помешает привязка мака к ip адресу. Как я подозреваю mac фильтр используется для фильтрации неизвестных хостов и следовательно разумным будет использовать создать общий список ассоциаций MAC == IP, с которым работает DHCP сервер. А именно файл /etc/ethers. Для этого из инициализационного скрипта (post-firewall) будем менять таблицу файрвола с помощью команды iptables, основываясь на рабочий файл /etc/ethers.

    В инициализационный скрипт /usr/local/post-firewall добавим следующие строки:
    Code:
    #!/bin/sh
    #^^^^^ строка выше, указывающая на интерпретатор
    # всегда должна быть первой в файле скрипта
    
    # Создадим новую цепочку в файрволе с именем MAC_IP, 
    # куда будем добавлять наши правила
    iptables -N MAC_IP
    
    # Завернём в неё исходящий транзитный трафик
    iptables -I FORWARD $(iptables -L FORWARD --lin | grep D,E | awk '{print $1+1}') -o ! br0 -j MAC_IP
    
    # Пропишем, разрешающие транзитный трафик правила,
    # основываясь на файл /etc/ethers
    awk '{system("iptables -A MAC_IP -s "$2" -m mac --mac-source "$1" -j RETURN")}' < /etc/ethers
    
    # Добавим правило, дропающее трафик от неизвестных хостов.
    iptables -A MAC_IP -j DROP
    Если под рукой нет подходящего текстового редактора то файл с сожержимым можно создать следующими командами:
    Code:
    mkdir -p /usr/local/sbin
    cat << _EOF > /usr/local/sbin/post-firewall
    #!/bin/sh
    iptables -N MAC_IP
    iptables -I FORWARD $(iptables -L FORWARD --lin | grep D,E | awk '{print $1+1}') -o ! br0 -j MAC_IP
    awk '{system("iptables -A MAC_IP -s "$2" -m mac --mac-source "$1" -j RETURN")}' < /etc/ethers
    iptables -A MAC_IP -j DROP
    _EOF
    После того, как будет создан файл скрипта /usr/local/sbin/post-firewall нужно не забыть дать ему права на исполнение с помощью команды chmod +x /usr/local/sbin/post-firewall

    Вот. Теперь список ассоциаций MAC-IP нужно будет вести на роутере в текстовом файле /usr/local/etc/ethers в формате
    мак_адрес_через_двоеточие [пробел] соответствующий_ip_адрес, например:
    Code:
    00:a9:40:0a:90:02 172.16.0.22
    00:15:f2:7b:40:cc 172.16.0.33
    00:15:f2:7a:87:4e 172.16.0.44
    После того, как какой либо из файлов в папке /usr/local был исправлен, для того, чтобы записать изменения во flash роутера нужно не забыть дать команды:
    flashfs save && flashfs commit && flashfs enabled

    Да, и если файлы создавались в другой ОС то, прежде чем заливать на роутер нужно будет убедится, что файлы имеют перевод строки в формате *nix.
    Last edited by Omega; 14-06-2011 at 00:26. Reason: fixed

  2. #2
    Join Date
    May 2005
    Location
    Russia
    Posts
    19

    Post Фильтрация и привязка IP по МАС адресу

    собсно сабж.
    критически не хватает возможности МАС авторизации через RADIUS на "зачем?", "неужели ЕАР не хватает?" и тому подобные вопросы отвечаю сразу - клиентом ТД (точки доступа) может быть помимо РС так же какая нить железяка которая кроме своего МАС-а ничего предъявить не может... опять же данный вариант крайне удобен тем что можно иметь едину базу клиентов на большом количестве ТД... имхо, добавление подобной фишки сразу поставит wl500gx+custom_FW на enterprise level

    Олег, что думаешь? стоит ждать?
    HOWTO напишу сразу же

    З.Ы. ненавижу D-Link... НЕНАВИЖУ это ж надо, точки за 100$ по функционалу равны точкам за 700$ кому интересно - сравните http://support.dlink.com/emulators/dwl2100ap/ и http://support.dlink.com/Emulators/dwl2700ap/ в последнем кстати слова RADIUS вообще нет

  3. #3
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356
    Если вопрос про возможность запустить radius сервер прямо на wl500g - то это не ко мне.
    Если вопрос про авторизацию с RADIUS, то единственный нормальный вариант - WPA, желание иметь тоже самое просто о MAC - понятно, но к сожалению драйвер этого не поддерживает. Существует решение, которое активно диассоциирует "плохих" клиентов, но разве это то, что надо?

  4. #4
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    но к сожалению драйвер этого не поддерживает
    жаль, жаль...
    Существует решение, которое активно диассоциирует "плохих" клиентов, но разве это то, что надо?
    на безрыбье и это пойдет... хотя бы посмотреть реализацию...

  5. #5
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356

  6. #6

    Вопрос о фильтрации по Mac

    Есть WL 500g с прашивкой от Asus 1.9.5.0

    Вопрос вот в чем. Поставил я фильтрацию по MAC адресу, вбил туда пару адресов, которые реально стоят в офисе, выбрал акцепт и успокоился. Пришел ко мне в гости друг, включил бук и у него все заработало. Такое бывает или я где то не прав?

  7. #7
    Если вы про Accept\Decline во вкладке Wireless, так это только для беспроводной сети...
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!

  8. #8

    Ограничение в 32 привязки ip по DHCP к MAC

    Возникла проблема с сабжем. Ее можно как-нибудь обойти? Не хватает 15-20 привязок. Прошивка от Олега последняя. Поиском наткнулся на более старые ограничения, но более свежего не нашел.

  9. #9
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,356
    Ну роутер-то для домашнего использования, вот и ограничения в веб-интерфейсе.
    Вас спасёт файл /usr/local/etc/ethers, его формат аналогичен /etc/ethers.

  10. #10

    Спасибо большое.

    Ясно что для домашнего, но в целом его возможностей вполне хватает для моих запросов и на работе.

  11. #11

    Фильтрация по МАС адрессу

    на закладке Wireless-Access Control-MAC Access Mode ставлю-Accept,
    прописываю МАС адресс WiFi адаптера, дальше Apply, Finish, перезагружается, выключаю и включаю питание, как написанно здесь: http://wl500g.info/showthread.php?t=3171. Но ноутбук все равно подключаться не хочет. Что я делаю не так?

  12. #12
    Без фильтрации работает? Снчала настрой без а потом уже включай.

  13. #13
    Quote Originally Posted by dimvia View Post
    Без фильтрации работает? Снчала настрой без а потом уже включай.
    Без фильтрации все отлично работает.Когда ее включаю, перестает работать

  14. #14
    Попробуй вбить mac Отличный от своего. Работать будет? значит Accept Deny перпутаны
    Sorry for my bad English.
    Покупайте Отечественных Слонов!!!

  15. #15
    Quote Originally Posted by FilimoniC View Post
    Попробуй вбить mac Отличный от своего. Работать будет? значит Accept Deny перпутаны
    Все заработало. Не знаю почему, но сначала нужно было отключить шифрование и настроить фильтрацию, а потом уже включать шифрование WiFi. Спасибо всем.

Page 1 of 7 123 ... LastLast

Similar Threads

  1. Фильтрация нежелательного контента (dnsmasq+adsuck+dnscrypt)
    By ryzhov_al in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 79
    Last Post: 22-01-2017, 10:28

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •