Log in

Bekijk de volledige versie : Разделение на "своих" и "чужих"



Zverik
02-10-2008, 07:57
Здравствуйте. Последние полгода роутер жил безо всяких WPA2 и всё было хорошо. Изредка подключались один-два человека, но ненадолго. Но со вчерашнего дня кто-то бессовестный запустил p2p, из-за чего мне не скачать утром очередную порцию сериалов перед работой :)

Поэтому возникла такая задача. Нужно для всех, кроме меня, ограничить канал 256 килобитами. Либо, чуть более сложно, ограничить 768 и оставить открытыми лишь порты http/ftp/pop3/smtp/icq. Первый вариант меня вполне устроит, если с портами всё сложно.

Отличать "своих" по списку MAC-адресов. Насколько трудоёмко будет сделать два входа - простотаковый и по WPA2?

Почему не хочу банально запретить неавторизованный вход? Помнится, когда я только настраивал роутер, случайно что-то сломал и wifi-интернет пропал, а нужно было зайти на этот форум. Кабель перетыкать было лень. Обнаружил неподалёку открытый wi-fi и зашёл через него. Собственно, хочу оставить такую возможность теперь другим. Ну и чтобы почту и новости любой мог проверить, проходя мимо моего дома.

Кстати, чем плохим мне грозит открытый wi-fi?

Alex_Sander
02-10-2008, 10:40
как вариант:
в DHCP - сервере задать себе по MACу "статический IP".
"Чужим" - задать диапазон, например 192.168.х.155 - 192.168.х.160.
Когда "чужой" пытается подключиться, ему выдается один из этих адресов.
А в "ограничении" указать резать все исходящие и входящие порты для данных IP адресов (как? в bandwidth management указать IP и скорость для ограничения. Порты не указывать - порежутся все ;).
Конечно, тот, кто присвоит себе IP статически их "неурезанного" диапазона, сможет пользовать весь канал, но до этого еще надо догадаться ;)
Или создать LAN-подсеть мааленькую, адресов на 3...15, один - себе, остальные - урезать. (как? указать маску LAN не 255.255.255.0, а, например, 255.255.255.240)

6opoga
03-10-2008, 08:40
Но вообще можно просто файрволом по MAC адресам спокойненько резать.
Примерно так:
(вставлять можно в конец цепочки FORWARD если она дефолтная)

iptables -A FORWARD -i br0 -m mac --mac-source мой:мак:ад:рес:тут -j ACCEPT
iptables -A FORWARD -i br0 -p tcp --dport наКакойПортМожноВсем -j ACCEPT
iptables -A FORWARD -i br0 -p tcp --dport наКакойПорт2МожноВсем -j ACCEPT
...
iptables -A FORWARD -i br0 -j DROP

6opoga
03-10-2008, 08:41
Только это все несекурно ни разу, потому что подставить себе мак-адрес можно легко, и наснифить гуляющие в вайфайной сетке мак-адреса тоже проблем нет.

Zverik
03-10-2008, 13:00
Ну, вопрос не в том, чтобы резать, а лишь чтобы ограничивать :)
А вход для гостя параллельно с wpa можно сделать? С ограничениями для первого.

tiny
03-10-2008, 13:25
А для секьюрности можно настроить какой-нить WPA2 демон, например hostapd

6opoga
03-10-2008, 13:53
Ну, вопрос не в том, чтобы резать, а лишь чтобы ограничивать :)
А вход для гостя параллельно с wpa можно сделать? С ограничениями для первого.

Мне кто-то когда-то говорил, что видел где-то заметку как это сделать. Но источник сорта "ОднаБабкаСказала". Боюсь, без поддержки железа тут не обойтись, а поддерживает ли железо нашей зверюшки работу с двумя SSIDами я не знаю.

vectorm
03-10-2008, 14:17
Я не пойму смысл таких заморочек ради того, чтобы кто-то мог на халяву в инете пошариться ...

Tresh
03-10-2008, 15:13
Заморочки для того, чтобы любители халявы не злоупотребляли доверием хозяев.
МОжно вообще точку доступа с авторизацией настроить. на форуме было описание как это сделать.
Только ресурсов роутера это потребует.

tiny
03-10-2008, 16:40
МОжно вообще точку доступа с авторизацией настроить. на форуме было описание как это сделать.
Ну, в некоторых дешевых отелях так и сделано. Подходишь на рецепшн, спрашиваешь пароль. Потом грузишь яндекс, и вводишь в отображенную страничку авторизации пароль. Потом сессия dhcp привязывается к mac адресу и привет бесплатный инет!

Я даже знаю как, это сделать, ничего не устанавливая в олегову прошивку. Просто сказать привелигированным юзерам, что перед сеансом нужно логиниться на фтп. А в настройках фтп есть скрипт. выполняемый во время логина. Там можно че-нить наваять для iptables:confused:

tiny
03-10-2008, 17:02
А вход для гостя параллельно с wpa можно сделать? С ограничениями для первого.
Надеюсь, я же не зря написал про hostapd?
Вот ссылка http://en.wikipedia.org/wiki/EAP-TTLS
многие современные гаджеты поддерживают параллельно с WPA еще и EAP туннелирование (на уровне IP:confused:)

Zverik
05-10-2008, 18:50
Итак, в "WAN&LAN" проставил маску подсети 255.255.255.240;
В "DHCP Server" поставил выдачу IP между .2 и .15 и добавил свой MAC-адрес в список с ip=.2;
В "Bandwidth Management" добавил в список адреса с .3 по .15 с верхним ограничением в 256 kbps (это килобиты, я надеюсь?);
Везде нажал Apply и в конце - Finish, Save&Restart.

Сокабельник после перезагрузки ещё не подключился. Файлы качаются со скоростью 230, как и было. Торренты - всё ещё медленно, 20-50 килобайт в секунду. Видимо, грешить надо на старый transmission...
Но ограничение хотел сделать давно, так что убирать не буду :)

Раз проблема оказалась не в этом - вопрос с установкой параллельного WAN2 пока снимается, спасибо :)

Metroid
05-10-2008, 21:22
Итак, в "WAN&LAN" проставил маску подсети 255.255.255.240;


Куда Вам столько подсетей? О.о




В "DHCP Server" поставил выдачу IP между .2 и .15 и добавил свой MAC-адрес в список с ip=.2;


Ну по логике, коли уж взяли маску 28, надо, к примеру, всем халявщикам выдавать адреса
сети 192.168.1.0/28. А своим в сети 192.168.1.16/28 (Можно в ручную). Первую сеть режете правилами файрвола(или bandwidth) как душе угодно, на вторую никакх ограничений. Плюс, халявщики при такой организации не будут лазить на компы "своих". Вот как бы так я думаю, гуру, поправьте если чо.