Page 3 of 9 FirstFirst 12345 ... LastLast
Results 31 to 45 of 133

Thread: WAN, VLAN, MAN, BR0 и т.п. Кто-нибудь разъяснит?

  1. 15-05-2007, 16:15 #31
    Rambalac
    Rambalac is offline Senior Member
    Join Date
    Apr 2007
    Posts
    122
    Я знаю, пока так и работает, но вот боязно, что ктото может пролезть и "сделать пару звонков в бразилию"
  2. 15-05-2007, 17:28 #32
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    А у свича похоже отсутствует данный функционал.
  3. 15-05-2007, 17:42 #33
    Romeo9128
    Romeo9128 is offline Member
    Join Date
    Apr 2007
    Posts
    56

    привязка ip к mac

    Здравствуйте. к стати, я думаю по теме... НЕ подскажите ли как можно организовать привязку ip к маку сетевой?
    Т.е. чтоб при хотя бы одном несовпадении (мак или ip не верны) пользователю либо блокировался доступ.. либо (в идеале) если от пользователя идёт запрос на 80 порт (по инету он хочет к примеру побродить), то он перенаправлялся на какой-нибудь другой адрес.
    Хотя про перенаправление в одной из тем уже было...
    Зарание спасибо!
  4. 16-05-2007, 00:48 #34
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788

    Lightbulb привязка ip к mac

    ----- СКРИПТ УДАЛЕН -----

    ЕСТЬ РЕШЕНИЕ ПРОЩЕ И ЛУЧШЕ: http://wl500g.info/showpost.php?p=59435&postcount=19
    Last edited by Mam(O)n; 26-07-2007 at 18:11.
  5. 16-05-2007, 14:43 #35
    Romeo9128
    Romeo9128 is offline Member
    Join Date
    Apr 2007
    Posts
    56

    привязка ip к mac

    Огромное Вам спасибо. Вечерком попробую. А не подскажите ли ещё, что нужно изменить, чтобы при запросе на 80 порт была переброс на 80 порт, но на ип, отличный от адреса роутера.
  6. 16-05-2007, 14:59 #36
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Если навскидку, то в том скрипте можно попробовать заменить
    Code:
    $IPT -t nat -A ${pref}REDIR -p tcp --dport 80 -j REDIRECT --to-port $tport
    на
    Code:
    $IPT -t nat -A ${pref}REDIR -p tcp --dport 80 -j DNAT --to-destination айпиадрес:порт
  7. 18-05-2007, 08:59 #37
    Rambalac
    Rambalac is offline Senior Member
    Join Date
    Apr 2007
    Posts
    122
    Одно плохо, встроеный в веб фильтр МАК настраивает так, что не только в инет не пускает остальных, но к самому роутеру и самбе на нем
    А
    iptables -I FORWARD -m mac --mac-source ! <мой мак> -j DROP
    блокирует инет не только всем остальным, но и мне

    и в обоих случаях можно поменять МАК

    к стати, robocfg пишет, что и br0 и vlan1 помечает пакеты (tagged). Если я правильно понимаю, то помечает он их как раз номером порта? только где его можно поймать? это случаем не MARK в iptables?
  8. 23-07-2007, 17:12 #38
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Хм... Действительно, не прочитал сначала ответ Rambalac, запустил скрипт и начал радоваться жизни... А оказалось, что данный скрипт вообще "неправильных" пользователей не пускает ни к каким ресурсам роутера. Ни к самбе, ни к ftp, ни к web на том же порту 8080. Но тогда получается и смысла как бы особого нет в этом скрипте? По mac можно отсеять гораздо более простым способом - через web-интерфейс. Перевод гостя на порт 8080 при попытке ломится на 80-й конечно прикольно, но...
    Позарез нужен способ допускать любого пользователя к ресурсам самого роутера, но в то же время в инет пускать только "проверенных товарищей"! Есть такая возможность?
  9. 23-07-2007, 17:47 #39
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Этот скрипт я писал для привязки ip к mac и о том чтоб был доступ к роутеру для других не задумывался. Да и проще можно было сделать, просто какой-то мануал меня ввел в заблуждение, что мак и ip в одном правиле нельзя указывать.
    Я думаю что так должно сработать:
    Code:
    iptables -N MAC_FILTER
iptables -A MAC_FILTER -s 000.000.000.000 -m mac --mac-source 00:00:00:00:00:00 -j RETURN
iptables -A MAC_FILTER -s 111.111.111.111 -m mac --mac-source 11:11:11:11:11:11 -j RETURN
.....
iptables -A MAC_FILTER -s nnn.nnn.nnn.nnn -m mac --mac-source nn:nn:nn:nn:nn:nn -j RETURN
iptables -A MAC_FILTER -j DROP
iptables -I FORWARD -o ! br0 -d ! $(nvram get lan_ipaddr) -j MAC_FILTER
  10. 23-07-2007, 18:18 #40
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Mam(O)n, спасибо огромное! Все замечательно работает!
  11. 24-07-2007, 13:47 #41
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696

    5 портов на LAN и 1 на WAN

    Прошу совета.
    Мне нужно, чтобы все 5 портов работали как свич (т.е. входили в LAN), и в то же время порт WAN поднимал PPPoE-соединение и раздавался инет.
    Могу пояснить зачем. Локальная сеть с одним адресным пространством у меня находится и "внутри" и "снаружи" (т.е. со стороны порта WAN, которым я и подключен к сети). Т.е. чтобы мне без NAT работать с локалкой, порт WAN должен входить в LAN.
    Что делаю:
    robocfg vlan 1 ports "0 5t" vlan 0 ports "0 1 2 3 4 5t"
    Что получаю. Если PPPoE уже установлен, то все работает замечательно. И локалка прекрасно видна, и инет есть.
    Если же PPPoE не установлен (ну или разорвался), то установить его уже не удается.
    В логах следующее:
    Jul 24 16:43:08 kernel: VLAN (vlan1): Underlying device (eth0) has same MAC, not checking promiscious mode.
    ...skiped....
    Jul 24 16:43:09 pppd[592]: Plugin rp-pppoe.so loaded.
    Jul 24 16:43:09 pppd[592]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.2
    Jul 24 16:43:09 pppd[593]: pppd 2.4.2 started by root, uid 0
    Jul 24 16:43:44 pppd[593]: Timeout waiting for PADO packets
    Jul 24 16:43:44 pppd[593]: Unable to complete PPPoE Discovery

    Можно ли как-нибудь выйти из этой ситуации?
  12. 24-07-2007, 22:26 #42
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Похоже, что нельзя дублировать один порт на несколько vlan.
  13. 25-07-2007, 06:56 #43
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    Quote Originally Posted by Mam(O)n View Post
    Похоже, что нельзя дублировать один порт на несколько vlan.
    Интересно - почему?
    Я же говорю - единственный затык с проблеммой установления ppp-соединения. После того, как оно установлено, объединяю порты и все прекрасно работает. Значит в принципе это возможно!
    Я даже скриптик написал, который переконфигурирует vlans в зависимости от наличия ppp-соединения. И прописал его в post-firewall и (на всякий случай) в cron на каждые 5 минут. В результате у меня у меня и инет есть, и все 5 портов как обычный свич работают.
    Но это все очень некучеряво, поскольку после разрыва ppp и до момента его установления у меня "падает" локалка. В результате действия скрипта конечно.
    Так что это должно работать, потому как работает. Осталось решить только проблему соединения.
    И вообще - почему нельзя вешать на один порт несколько vlan? Роутер ведь (про 500gp речь идет) поддерживает до 16 vlan! А портов у нас всего 5 Что мешает нам повесить на один порт несколько vlan? Конечно применительно к моей ситуации случай особый - один порт входит в vlans с очень уж разными свойствами. Но тем не менее...
    Ведь на ББ ничто не мешает нам "повесить" на одну сетевую плату хоть с десяток IP из разных подсетей каждый со своей маршрутизацией и устанавливать одновременно с пяток PPPoE? И никакого криминала в этом нет.

    Так что уверен - какое-то решение есть. Оно не может не есть.
    Очень конечно хочется услышать мнение нашего гуру Oleg.
    Last edited by Reyter; 25-07-2007 at 07:11.
  14. 25-07-2007, 07:08 #44
    Reyter
    Reyter is offline Forum Guru
    Send a message via ICQ to Reyter
    Join Date
    Mar 2007
    Location
    Russia, Ryazan
    Posts
    696
    А добавить в этот скрипт редирект на порт 8080 нельзя? Очень уж удобная штука...
  15. 25-07-2007, 10:10 #45
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Попробуй, может так сработает
    Code:
    iptables -t nat -N MAC_FILTER
iptables -t nat -A MAC_FILTER -s 000.000.000.000 -m mac --mac-source 00:00:00:00:00:00 -j RETURN
iptables -t nat -A MAC_FILTER -s 111.111.111.111 -m mac --mac-source 11:11:11:11:11:11 -j RETURN
.....
iptables -t nat -A MAC_FILTER -s nnn.nnn.nnn.nnn -m mac --mac-source nn:nn:nn:nn:nn:nn -j RETURN
# Редирект на порт 8080 роутера
iptables -t nat -A MAC_FILTER -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A MAC_FILTER -j DROP
iptables -t nat -I PREROUTING -d ! $(nvram get lan_ipaddr) -j MAC_FILTER
    Last edited by Mam(O)n; 26-07-2007 at 18:16.
Page 3 of 9 FirstFirst 12345 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Firmware v1.9.2.7 CR1 [Oleg]
    By Oleg in forum WL-500g Firmware Releases
    Replies: 53
    Last Post: 13-04-2005, 23:26

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules