Bekijk de volledige versie : Разделение на "своих" и "чужих"
Здравствуйте. Последние полгода роутер жил безо всяких WPA2 и всё было хорошо. Изредка подключались один-два человека, но ненадолго. Но со вчерашнего дня кто-то бессовестный запустил p2p, из-за чего мне не скачать утром очередную порцию сериалов перед работой :)
Поэтому возникла такая задача. Нужно для всех, кроме меня, ограничить канал 256 килобитами. Либо, чуть более сложно, ограничить 768 и оставить открытыми лишь порты http/ftp/pop3/smtp/icq. Первый вариант меня вполне устроит, если с портами всё сложно.
Отличать "своих" по списку MAC-адресов. Насколько трудоёмко будет сделать два входа - простотаковый и по WPA2?
Почему не хочу банально запретить неавторизованный вход? Помнится, когда я только настраивал роутер, случайно что-то сломал и wifi-интернет пропал, а нужно было зайти на этот форум. Кабель перетыкать было лень. Обнаружил неподалёку открытый wi-fi и зашёл через него. Собственно, хочу оставить такую возможность теперь другим. Ну и чтобы почту и новости любой мог проверить, проходя мимо моего дома.
Кстати, чем плохим мне грозит открытый wi-fi?
Alex_Sander
02-10-2008, 10:40
как вариант:
в DHCP - сервере задать себе по MACу "статический IP".
"Чужим" - задать диапазон, например 192.168.х.155 - 192.168.х.160.
Когда "чужой" пытается подключиться, ему выдается один из этих адресов.
А в "ограничении" указать резать все исходящие и входящие порты для данных IP адресов (как? в bandwidth management указать IP и скорость для ограничения. Порты не указывать - порежутся все ;).
Конечно, тот, кто присвоит себе IP статически их "неурезанного" диапазона, сможет пользовать весь канал, но до этого еще надо догадаться ;)
Или создать LAN-подсеть мааленькую, адресов на 3...15, один - себе, остальные - урезать. (как? указать маску LAN не 255.255.255.0, а, например, 255.255.255.240)
Но вообще можно просто файрволом по MAC адресам спокойненько резать.
Примерно так:
(вставлять можно в конец цепочки FORWARD если она дефолтная)
iptables -A FORWARD -i br0 -m mac --mac-source мой:мак:ад:рес:тут -j ACCEPT
iptables -A FORWARD -i br0 -p tcp --dport наКакойПортМожноВсем -j ACCEPT
iptables -A FORWARD -i br0 -p tcp --dport наКакойПорт2МожноВсем -j ACCEPT
...
iptables -A FORWARD -i br0 -j DROP
Только это все несекурно ни разу, потому что подставить себе мак-адрес можно легко, и наснифить гуляющие в вайфайной сетке мак-адреса тоже проблем нет.
Ну, вопрос не в том, чтобы резать, а лишь чтобы ограничивать :)
А вход для гостя параллельно с wpa можно сделать? С ограничениями для первого.
А для секьюрности можно настроить какой-нить WPA2 демон, например hostapd
Ну, вопрос не в том, чтобы резать, а лишь чтобы ограничивать :)
А вход для гостя параллельно с wpa можно сделать? С ограничениями для первого.
Мне кто-то когда-то говорил, что видел где-то заметку как это сделать. Но источник сорта "ОднаБабкаСказала". Боюсь, без поддержки железа тут не обойтись, а поддерживает ли железо нашей зверюшки работу с двумя SSIDами я не знаю.
Я не пойму смысл таких заморочек ради того, чтобы кто-то мог на халяву в инете пошариться ...
Заморочки для того, чтобы любители халявы не злоупотребляли доверием хозяев.
МОжно вообще точку доступа с авторизацией настроить. на форуме было описание как это сделать.
Только ресурсов роутера это потребует.
МОжно вообще точку доступа с авторизацией настроить. на форуме было описание как это сделать.
Ну, в некоторых дешевых отелях так и сделано. Подходишь на рецепшн, спрашиваешь пароль. Потом грузишь яндекс, и вводишь в отображенную страничку авторизации пароль. Потом сессия dhcp привязывается к mac адресу и привет бесплатный инет!
Я даже знаю как, это сделать, ничего не устанавливая в олегову прошивку. Просто сказать привелигированным юзерам, что перед сеансом нужно логиниться на фтп. А в настройках фтп есть скрипт. выполняемый во время логина. Там можно че-нить наваять для iptables:confused:
А вход для гостя параллельно с wpa можно сделать? С ограничениями для первого.
Надеюсь, я же не зря написал про hostapd?
Вот ссылка http://en.wikipedia.org/wiki/EAP-TTLS
многие современные гаджеты поддерживают параллельно с WPA еще и EAP туннелирование (на уровне IP:confused:)
Итак, в "WAN&LAN" проставил маску подсети 255.255.255.240;
В "DHCP Server" поставил выдачу IP между .2 и .15 и добавил свой MAC-адрес в список с ip=.2;
В "Bandwidth Management" добавил в список адреса с .3 по .15 с верхним ограничением в 256 kbps (это килобиты, я надеюсь?);
Везде нажал Apply и в конце - Finish, Save&Restart.
Сокабельник после перезагрузки ещё не подключился. Файлы качаются со скоростью 230, как и было. Торренты - всё ещё медленно, 20-50 килобайт в секунду. Видимо, грешить надо на старый transmission...
Но ограничение хотел сделать давно, так что убирать не буду :)
Раз проблема оказалась не в этом - вопрос с установкой параллельного WAN2 пока снимается, спасибо :)
Итак, в "WAN&LAN" проставил маску подсети 255.255.255.240;
Куда Вам столько подсетей? О.о
В "DHCP Server" поставил выдачу IP между .2 и .15 и добавил свой MAC-адрес в список с ip=.2;
Ну по логике, коли уж взяли маску 28, надо, к примеру, всем халявщикам выдавать адреса
сети 192.168.1.0/28. А своим в сети 192.168.1.16/28 (Можно в ручную). Первую сеть режете правилами файрвола(или bandwidth) как душе угодно, на вторую никакх ограничений. Плюс, халявщики при такой организации не будут лазить на компы "своих". Вот как бы так я думаю, гуру, поправьте если чо.