Bekijk de volledige versie : Фильтрация и привязка IP по МАС адресу
собсно сабж.
критически не хватает возможности МАС авторизации через RADIUS :( на "зачем?", "неужели ЕАР не хватает?" и тому подобные вопросы отвечаю сразу - клиентом ТД (точки доступа) может быть помимо РС так же какая нить железяка которая кроме своего МАС-а ничего предъявить не может... опять же данный вариант крайне удобен тем что можно иметь едину базу клиентов на большом количестве ТД... имхо, добавление подобной фишки сразу поставит wl500gx+custom_FW на enterprise level ;)
Олег, что думаешь? стоит ждать?
HOWTO напишу сразу же ;)
З.Ы. ненавижу D-Link... НЕНАВИЖУ :mad: это ж надо, точки за 100$ по функционалу равны точкам за 700$ :mad: :mad: :mad: кому интересно - сравните http://support.dlink.com/emulators/dwl2100ap/ и http://support.dlink.com/Emulators/dwl2700ap/ в последнем кстати слова RADIUS вообще нет :mad:
Фильтрация и привязка IP по МАС адресу
Про то, как подключится к роутеру через телнет и как работать с текстовыми файлами я не буду писать, на форуме инфы должно быть полно, остановимся на основных моментах. Значится так.
Первое. Нам нужно будет подсунуть свой файл с привязками ip-mac DHCP серверу, роль которого на роутере исполняет dnsmasq (http://www.thekelleys.org.uk/dnsmasq/doc.html). Если ассоциации положить в файл /usr/local/etc/ethers то прошивка автоматически добавит его содержимое к рабочему файлу /etc/ethers при составлении оного основываясь на настройках веб-интерфейса. Поэтому сей список будем вести именно в том файле.
Второе. Нужно сделать фильтрацию трафика по mac адресам. И как я понял при фильтрации не помешает привязка мака к ip адресу. Как я подозреваю mac фильтр используется для фильтрации неизвестных хостов и следовательно разумным будет использовать создать общий список ассоциаций MAC == IP, с которым работает DHCP сервер. А именно файл /etc/ethers. Для этого из инициализационного скрипта (post-firewall) будем менять таблицу файрвола (http://www.netfilter.org/) с помощью команды iptables (http://www.netfilter.org/projects/iptables/index.html), основываясь на рабочий файл /etc/ethers.
В инициализационный скрипт /usr/local/post-firewall добавим следующие строки:
#!/bin/sh
#^^^^^ строка выше, указывающая на интерпретатор
# всегда должна быть первой в файле скрипта
# Создадим новую цепочку в файрволе с именем MAC_IP,
# куда будем добавлять наши правила
iptables -N MAC_IP
# Завернём в неё исходящий транзитный трафик
iptables -I FORWARD $(iptables -L FORWARD --lin | grep D,E | awk '{print $1+1}') -o ! br0 -j MAC_IP
# Пропишем, разрешающие транзитный трафик правила,
# основываясь на файл /etc/ethers
awk '{system("iptables -A MAC_IP -s "$2" -m mac --mac-source "$1" -j RETURN")}' < /etc/ethers
# Добавим правило, дропающее трафик от неизвестных хостов.
iptables -A MAC_IP -j DROP
Если под рукой нет подходящего текстового редактора то файл с сожержимым можно создать следующими командами:
mkdir -p /usr/local/sbin
cat << _EOF > /usr/local/sbin/post-firewall
#!/bin/sh
iptables -N MAC_IP
iptables -I FORWARD $(iptables -L FORWARD --lin | grep D,E | awk '{print $1+1}') -o ! br0 -j MAC_IP
awk '{system("iptables -A MAC_IP -s "$2" -m mac --mac-source "$1" -j RETURN")}' < /etc/ethers
iptables -A MAC_IP -j DROP
_EOF
После того, как будет создан файл скрипта /usr/local/sbin/post-firewall нужно не забыть дать ему права на исполнение с помощью команды chmod +x /usr/local/sbin/post-firewall
Вот. Теперь список ассоциаций MAC-IP нужно будет вести на роутере в текстовом файле /usr/local/etc/ethers в формате
мак_адрес_через_двоеточие [пробел] соответствующий_ip_адрес, например:
00:a9:40:0a:90:02 172.16.0.22
00:15:f2:7b:40:cc 172.16.0.33
00:15:f2:7a:87:4e 172.16.0.44
После того, как какой либо из файлов в папке /usr/local был исправлен, для того, чтобы записать изменения во flash роутера нужно не забыть дать команды:
flashfs save && flashfs commit && flashfs enabled
Да, и если файлы создавались в другой ОС то, прежде чем заливать на роутер нужно будет убедится, что файлы имеют перевод строки в формате *nix.
Если вопрос про возможность запустить radius сервер прямо на wl500g - то это не ко мне. :)
Если вопрос про авторизацию с RADIUS, то единственный нормальный вариант - WPA, желание иметь тоже самое просто о MAC - понятно, но к сожалению драйвер этого не поддерживает. Существует решение, которое активно диассоциирует "плохих" клиентов, но разве это то, что надо?
но к сожалению драйвер этого не поддерживает жаль, жаль...
Существует решение, которое активно диассоциирует "плохих" клиентов, но разве это то, что надо? на безрыбье и это пойдет... хотя бы посмотреть реализацию...
http://www.zerfleddert.de/wrt54g/wrt-radauth/
http://www.zerfleddert.de/wrt54g/wrt-radauth/README
maxrsrus
23-11-2005, 09:37
Есть WL 500g с прашивкой от Asus 1.9.5.0
Вопрос вот в чем. Поставил я фильтрацию по MAC адресу, вбил туда пару адресов, которые реально стоят в офисе, выбрал акцепт и успокоился. Пришел ко мне в гости друг, включил бук и у него все заработало. Такое бывает или я где то не прав?
FilimoniC
23-11-2005, 17:13
Если вы про Accept\Decline во вкладке Wireless, так это только для беспроводной сети...
Возникла проблема с сабжем. Ее можно как-нибудь обойти? Не хватает 15-20 привязок. Прошивка от Олега последняя. Поиском наткнулся на более старые ограничения, но более свежего не нашел.
Ну роутер-то для домашнего использования, вот и ограничения в веб-интерфейсе.
Вас спасёт файл /usr/local/etc/ethers, его формат аналогичен /etc/ethers.
Ясно что для домашнего, но в целом его возможностей вполне хватает для моих запросов и на работе.
на закладке Wireless-Access Control-MAC Access Mode ставлю-Accept,
прописываю МАС адресс WiFi адаптера, дальше Apply, Finish, перезагружается, выключаю и включаю питание, как написанно здесь: http://wl500g.info/showthread.php?t=3171. Но ноутбук все равно подключаться не хочет. Что я делаю не так?
Без фильтрации работает? Снчала настрой без а потом уже включай.
Без фильтрации работает? Снчала настрой без а потом уже включай.
Без фильтрации все отлично работает.Когда ее включаю, перестает работать
FilimoniC
13-02-2007, 11:12
Попробуй вбить mac Отличный от своего. Работать будет? значит Accept Deny перпутаны
Попробуй вбить mac Отличный от своего. Работать будет? значит Accept Deny перпутаны
Все заработало. Не знаю почему, но сначала нужно было отключить шифрование и настроить фильтрацию, а потом уже включать шифрование WiFi. Спасибо всем.
dizelsky
31-05-2007, 08:09
Изза "нового" оборудования пришлось отменять опцию "hide ssid" и снижать некоторые запросы по шифрованию, естественно безопасность упала. Чтобы отбиваться от возможных атак сделал ряд скриптов.
Первый - REBUILD_RULES (выстраивает новые правила firewall, лежит в /opt/etc/init.d) Воспользоваться им смогут те, кто умеет руками писать правила iptables.
echo "
# Setting defaults
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
...{Ваше любое множество правил | Your rules}...
" > /opt/etc/init.d/S11network
cat /etc/ethers | awk {'print "iptables -t filter -I FORWARD 1 -s "$2" -m mac --mac-source "$1" -j ACCEPT"'} >> ./S11network
cat /etc/ethers | awk {'print "iptables -t filter -I INPUT 1 -s "$2" -m mac --mac-source "$1" -j ACCEPT"'} >> ./S11network
Последние две строки добавляют разрешающие правила (используя mac и IP адрес с файла /etc/ethers). Советую просто держать этот файл всегда актуальным. Как только нужно добавить новое устройство в сеть, идем в /etc/ethers и заполняем ip и мас адреса. Не забудьте сделать S11network исполняемым. Формат файла ethers такой:
00:0c:73:8e:3f:ba 192.168.1.2
00:13:02:26:53:1f 192.168.1.4
00:17:31:1f:73:59 192.168.1.3
00:0b:6c:4e:63:1b 192.168.1.5
Даже если кто-либо пройдет в wifi сеть - дальше делать будет нечего, только сканировать сеть на предмет telnet`ов к маршрутизатору (Настоятельно рекомендую ssh)
Второй скрипт (точнее группа скриптов) - maccontrol. Скрипт вешается в cron и при появлении новых mac адресов сообщает - Notify если mac адрес известен и ALARM если mac неизвестен.
Что должно быть установлено - cron, diffutils, php
1) mkdir /opt/etc/maccontrol/
2) touch /opt/etc/maccontrol/dev_old
3) Файл /opt/etc/maccontrol/scanner:
#!/bin/sh
/usr/sbin/brctl showmacs br0 | grep -v "is local?" | grep "no" | awk '{print $1" "$2}' > /opt/etc/maccontrol/dev_new
/opt/bin/diff /opt/etc/maccontrol/dev_old /opt/etc/maccontrol/dev_new | grep ">" | awk '{print $2" "$3}' > /opt/etc/maccontrol/delta
HOST="Unknown"
S=1
for j in `cat /opt/etc/maccontrol/delta` ; do
IP=""
for i in `cat /etc/ethers` ; do
if [ "$N" = "get" ]; then
IP="$i"
N=""
fi
if [ "$i" = "$j" ]; then
N="get"
fi
done
if [ $S == "2" ]; then
S=0
if [ "$IP" != "" ]; then
HOST=`cat /etc/hosts | grep $IP | awk '{print $2}'`
echo "Notify: $HOST on BR-$BR with $IP"
else
echo "!!!_ALARM_!!! $j on BR-$BR"
fi
BR=""
HOST=""
fi
if [ $S == "1" ]; then
BR="$j"
fi
S=$(($S + 1))
done
rm -f /opt/etc/maccontrol/dev_old
mv /opt/etc/maccontrol/dev_new /opt/etc/maccontrol/dev_old
rm -f /opt/etc/maccontrol/delta
4) файл /opt/etc/maccontrol/sendmail.php:
<?php
//new function
$to = "7914xxxxxxxxxx@sms.primtel.ru";
$nameto = "nameto";
$from = "xxxxxxxxxx@mail.ru";
$namefrom = "namefrom";
$subject = "wi-info";
$message = file_get_contents("/opt/etc/maccontrol/out.txt");
if (strlen($message)>10){
authSendEmail($from, $namefrom, $to, $nameto, $subject, $message);
}
?>
<?php
/* * * * * * * * * * * * * * SEND EMAIL FUNCTIONS * * * * * * * * * * * * * */
//Authenticate Send - 21st March 2005
//This will send an email using auth smtp and output a log array
//logArray - connection,
function authSendEmail($from, $namefrom, $to, $nameto, $subject, $message)
{
//SMTP + SERVER DETAILS
/* * * * CONFIGURATION START * * * */
$smtpServer = "smtp.mail.ru";
$port = "25";
$timeout = "30";
$username = "xxxxxxxxxx";
$password = "xxxxxxxxxx";
$localhost = "localhost";
$newLine = "\r\n";
/* * * * CONFIGURATION END * * * * */
//Connect to the host on the specified port
$smtpConnect = fsockopen($smtpServer, $port, $errno, $errstr, $timeout);
$smtpResponse = fgets($smtpConnect, 515);
if(empty($smtpConnect))
{
$output = "Failed to connect: $smtpResponse";
return $output;
}
else
{
$logArray['connection'] = "Connected: $smtpResponse";
}
//Request Auth Login
fputs($smtpConnect,"AUTH LOGIN" . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['authrequest'] = "$smtpResponse";
//Send username
fputs($smtpConnect, base64_encode($username) . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['authusername'] = "$smtpResponse";
//Send password
fputs($smtpConnect, base64_encode($password) . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['authpassword'] = "$smtpResponse";
//Say Hello to SMTP
fputs($smtpConnect, "HELO $localhost" . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['heloresponse'] = "$smtpResponse";
//Email From
fputs($smtpConnect, "MAIL FROM: $from" . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['mailfromresponse'] = "$smtpResponse";
//Email To
fputs($smtpConnect, "RCPT TO: $to" . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['mailtoresponse'] = "$smtpResponse";
//The Email
fputs($smtpConnect, "DATA" . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['data1response'] = "$smtpResponse";
//Construct Headers
$headers = "MIME-Version: 1.0" . $newLine;
$headers .= "Content-type: text/html; charset=iso-8859-1" . $newLine;
$headers .= "To: $nameto <$to>" . $newLine;
$headers .= "From: $namefrom <$from>" . $newLine;
fputs($smtpConnect, "To: $to\nFrom: $from\nSubject: $subject\n$headers\n\n$message\n.\n");
$smtpResponse = fgets($smtpConnect, 515);
$logArray['data2response'] = "$smtpResponse";
// Say Bye to SMTP
fputs($smtpConnect,"QUIT" . $newLine);
$smtpResponse = fgets($smtpConnect, 515);
$logArray['quitresponse'] = "$smtpResponse";
#print_r($logArray);
}
?>
Замените xxxxxxxxxx на нужное Вам.
5) Файл /opt/etc/maccontrol/starter:
#!/bin/sh
/opt/etc/maccontrol/scanner > /opt/etc/maccontrol/out.txt
/opt/bin/php /opt/etc/maccontrol/sendmail.php
6) Делаем cd /opt/etc/maccontrol ; chmod 755 starter, scanner
7) В cron lобавляем правило "*/3 * * * * admin /opt/etc/maccontrol/starter"
Через 3 минуты (или раньше) после коннекта получаем смс сообщение - "Notify: Unknown on BR-2 with 192.168.1.4", где BR-2 wifi, BR-1 - Ethernet. Чтобы вместо Unknown было нормальное имя хоста - прописываем в /etc/hosts
drJabber
14-08-2007, 09:37
добрый день.
заранее извиняюсь за дурацкие вопросы.
мой провайдер категорически против роутеров. говорит, регистрируйте платно доп. Ip адреса и платите ежемесячно абонентскую плату за их поддержку, кроме того у провайдера осуществляется привязка к мас-адресу.
правильно ли я понимаю, что для того, чтобы все работало, мне нужно на роутере поменять мас-адрес на тот, который зарегистрировал провайдер, а на десктопном компе поменять мас-адрес на другой, не совпадающий с адресом роутера?
в связи с этим еще вопрос: провайдер говорит, что у них есть возможность выяснить, реальный(железный) ето мас-адрес или он назначен программно. как быть в таком случае?
мой провайдер категорически против роутеров. говорит, регистрируйте платно доп. Ip адреса и платите ежемесячно абонентскую плату за их поддержку, кроме того у провайдера осуществляется привязка к мас-адресу.
правильно ли я понимаю, что для того, чтобы все работало, мне нужно на роутере поменять мас-адрес на тот, который зарегистрировал провайдер, а на десктопном компе поменять мас-адрес на другой, не совпадающий с адресом роутера?
Правильно.
в связи с этим еще вопрос: провайдер говорит, что у них есть возможность выяснить, реальный(железный) ето мас-адрес или он назначен программно. как быть в таком случае?
Провайдер врёт. Нельзя.
Но поймать факт использования роутера можно, посмотрев на TTL пакетов. Но против этого можно попросить роутер менять TTL на исходящий пакетах :cool: Рецепт как это сделать был, кажется, в приклеенной теме про "настройку с нуля".
нужно на роутере поменять мас-адрес на тот, который зарегистрировал провайдер, а на десктопном компе менять мас-адрес не нужно, все и так работает.
drJabber
15-08-2007, 04:48
2 6opoga,Yazon
спасибо, вселили уверенность:)
У меня возникла такая задача. Роутер подсоединен по adsl в инет. Большая часть пользователей не должны иметь возможность выхода в инет. С 3 же машин можно. Самый простой способ - с помощью iptables все запретить и разрещить инет этим 3 машинам. Но особо умные из запрещенных машин могут менять ip адрес. Поэтому мне надо сделать фильтрацию и по мак, и по айпи адресам. Мне б подошло нечто такое
iptables -P FORWARD DROP
iptables -A FORWARD -m mac --mac-source 0a:c0:0d:22:00:01 -s 192.168.1.2 -J ACCEPT
iptables -A FORWARD -m mac --mac-source 0a:c0:0d:22:00:02 -s 192.168.1.3 -J ACCEPT
iptables -A FORWARD -m mac --mac-source 0a:c0:0d:22:00:03 -s 192.168.1.4 -J ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Но проблема в том, что модуль mac отсутствует. Как реализовать такую связку? Как добавить модуль? Как можно жестко связать адрес и мак?
AlexNiden
30-09-2007, 00:01
Но проблема в том, что модуль mac отсутствует.
А как Вы определили его отсутствие?
У меня строчка:
iptables -A MAC_FILTER -m mac --mac-source 00:00:00:00:00:00 -j RETURN
выполняется и даже видна по iptables -nv -L
В чем именно проблема - правило не создается или не работает?
AlexNiden
30-09-2007, 00:02
единственная проблема, которую я могу видеть - это то, что у вас в "-J Accept" большая буква J, а нужна маленькая.
Mirage-net
30-09-2007, 04:07
Но особо умные из запрещенных машин могут менять ip адрес.
Особо умные могут подменять и МАС адрес .... ИМХО это не решение проблемы авторизации ...
AlexNiden, на команды с параметром -m mac --mac-source выдается ошибка Couldn't find match 'mac'. Насчет J - просто опечатка, быстро набирал. А в /lib/modules/... среди прочих модулей нет ipt_mac. Как его добавить? Или надо менять прошивку? У меня сейчас та, что пришла с завода.
Mirage-net, да я думал над этим. Если человек догадался поменять адрес, то догадается поменять и мак. Например, в WinXP в свойствах адаптера rt1839 можно вручную вводить какой хочешь мак. А что можно сделать в таком случае? Ставить отдельный прокси-сервер с авторизацией по логину/паролю в планы пока не входит, а с помощью роутера такое не релизуешь, сильно не извратившись :D. Так что мне пока реализовать бы жесткую привязку ip/mac...
Mirage-net
30-09-2007, 11:37
А что можно сделать в таком случае? Ставить отдельный прокси-сервер с авторизацией по логину/паролю в планы пока не входит, а с помощью роутера такое не релизуешь, сильно не извратившись :D. Так что мне пока реализовать бы жесткую привязку ip/mac...
OpenVPN здесь (http://wl500g.info/showthread.php?t=8880) я подробно расписал как его ставить ... правда только для одного клиента но поиск поможет настроить и на несколько ...
спасибо, сейчас почитаю...
AlexNiden
30-09-2007, 15:52
AlexNiden, на команды с параметром -m mac --mac-source выдается ошибка Couldn't find match 'mac'. А в /lib/modules/... среди прочих модулей нет ipt_mac. Как его добавить? Или надо менять прошивку? У меня сейчас та, что пришла с завода.
У меня тоже там нет ipt_mac. Возможно, он вкомпилирован в iptables. Но тут есть 3 момента:
1. У меня прошивка не заводская, а от Олега
2. В оригинальной прошивке есть фильтрация по MAC в веб-интерфейсе, значит, в ней тоже это должно работать
3. OpenVPN действительно лучше и надежнее :)
У меня в оригинальной прошивке по мак можно настроить время доступа к роутеру - Parental Control, это работает - блокирует определенный мак на время. Кроме того, есть MAC filtering menu, политику по умолчанию я поставил BLOCKED, но роутер все равно всех пускает через WAN. Самое интересное, что после установки всех этих настроек, в выводе iptables -L -n -v ничего не изменилось. Непонятно, как он работает с мак.
Добрый день. Такая проблема. На wl500gP с прошивкой 1970 перестало работать все! Ни dhcp ни ping 192.168.79.1. Если вручную задать адрес компа то arp -a показывает 192.168.1.1 <MAC_adreess> роутера. Но ни перепрошить ни зайти на страничку управления не могу.
Это случилось после того, как я поставил фильтр MAC ACCEPT. а позднее удалил все MAC адреса из списка но забыл удалить политку MAC ACCEPT.
Пробовал по-разному нажимать кнопочку reset. 5 секунд после загрузки - 2 минуты девайс мигает лампочкой power но ничего не помогает. Если выключить, нажать reset, включить то несколько секунд пингуется, а потом перестает.
Что делать?
Упс. Проблема решена! Я вместо reset нажимал config :D
Встала проблема:
На http://192.168.1.1/Advanced_DHCP_Content.asp были прописаны соответствия по mac - ip, решил добавить новый мак и IP, не добавилось.
Перезагружал, удалил правила, теперь и они не добавляются :(
Помогите вылечить.
Решилось как-то само собой.
Отрубил питание от винта и от него примерно на час, потом врубил.
Тепереь работает.
piezomotor
02-01-2008, 13:54
Может кто знает как заставить DHCP выдавать на конкретный MAC адрес конкретный IP адрес?
С XWRT я это делал просто- прописывал строку типа 00:40:f4:7a:fb:ed 192.168.1.110 в /etc/ethers
А в WL500gP это почемуто не работает....
Спасибо!
Полазьте внимательно в веб-интерфейсе - все можно!
FilimoniC
02-01-2008, 15:07
Полазьте внимательно в веб-интерфейсе - все можно!
IP Config - DHCP Server -> Enable Manual Assignment? = YES
И чуть ниже сам список
Добрый вечер всем.
Имею роутер wl500g Deluxe(прошивка Олега 1.9.2.7-8) и небольшую сеть офисную.
По прошествии времени кол-во компов в офисе стало увеличиваться и я уперся в ограничение списка мак адресов в DHCP сервере. Оно ровно 32. Поэтому я понимаю что нужно покупать более дорогую железку, но пока нету денег и счета щас не оплачиваются. Поэтому у меня к автору прошивки 2 вопроса.
1) Можно ли увеличить кол-во мак адресов в DHCP сервере до максимального(250 к примеру) ?
2) Есть ли ограничение мак фильтра в интернет файрволе ? Если есть то можно ли тоже увеличить ?
Прошивка и роутер просто идеально работают!
Спасибо.
32 адреса --- я так понимаю столько задается через веб-ИФ и сохраняется в nvram?
А что мешает задать части компов статические адреса?
Да через веб интерфейс. Просто потом будет куплена более мощная железка и хочется не ходить по комнатам и перенастраивать сетевые настройки. А все настраивать из одного места. + потом сеть будет разбита на логические подсети.
А что собственно мешает вести на роутере файл /etc/ethers для привязки MAC->IP для DHCP сервера и /usr/local/sbin/post-firewall с командами настройки файрвола iptables для mac фильтрации?
Ого, а можно по-подробнее как это сделать ? Просто в линуксе я не особо. Если была уже тема такая то просьба дать ссылку.
Заранее спасибо.
Romeo9128
12-01-2008, 17:35
хороая вешь.. только есть одно но!
К примеру есть клиент, подключённый статическим ипом. Его ип присутствует в файле /usr/local/etc/ethers и соответственно в etc/ethers. У него запущен торрент-клиент (uTorrent 1.6) и идёт раздача. Редактируем файл /usr/local/etc/ethers: удаляем строку с маком и ипом этого клиента. Сохраняем изменения командами flashfs save && flashfs commit && flashfs enabled и ребутим роутер. Роутер перезагружается, у клиента отваливается пинг до внешнео узла, 80 и 21 порты тоже точно отваливаются. Но!!! Торрент продолжает работать. Слушаем поток tcpdump'ом командой tcpdump -n host 192.168.1.3 (192.168.1.3 - ип который статически назначен на машине пользователя) - валится оч много пакетов. А они должны резаться...в фаерволле правило
DROP all -- * * 0.0.0.0/0 0.0.0.0/0
в самом конце таблицы MAC_IP есть.
В чём могли накривить мои руки? может ест предположения?
Зарание спасибо за ответ.
Ilmarinen
12-01-2008, 17:49
хороая вешь.. только есть одно но!
...
Но!!! Торрент продолжает работать. Слушаем поток tcpdump'ом командой tcpdump -n host 192.168.1.3 (192.168.1.3 - ип который статически назначен на машине пользователя) - валится оч много пакетов. А они должны резаться...в фаерволле правило
DROP all -- * * 0.0.0.0/0 0.0.0.0/0
в самом конце таблицы MAC_IP есть.
В чём могли накривить мои руки? может ест предположения?
Зарание спасибо за ответ.
Исправьте строку
iptables -I FORWARD $(iptables -L FORWARD --lin | grep D,E | awk '{print $1+1}') -o ! br0 -j MAC_IP
на
iptables -I FORWARD 1 -o ! br0 -j MAC_IP
Фокус в том, что установленные соединения попадают под правило
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
которое ищется в указанной команде и правило проверки ставится после, видимо с целью оптимизации работы брандмауэра.
P.S. Я кстати, на основе приведенного решения состряпал свое, я сбрасываю цепочку MACS и заполняю ее по своему, а чтобы DHCP работал добавляю соответствующее правило в INPUT
iptables -I INPUT -p udp -s 0.0.0.0/32 --sport bootpc -d 255.255.255.255/32 --dport bootps -j ACCEPT
iptables -F MACS
awk '{system("iptables -A MACS -s "$2" -m mac --mac-source "$1" -j RETURN")}' < /etc/ethers
iptables -A MACS -j DROP
[cnT]TanK
17-02-2008, 06:43
Роутер 500gP. моск прошит: 1.9.2.7-7g
Пожалуйста, подскажите, где находится файл, который нужно изменять для добавления записей в DHCP, в прошивке стандартно 32 записи, но мне уже не хватает на всех :( пожалуйста, помогите! :rolleyes:
TanK;83394']Роутер 500gP. моск прошит: 1.9.2.7-7g
Пожалуйста, подскажите, где находится файл, который нужно изменять для добавления записей в DHCP, в прошивке стандартно 32 записи, но мне уже не хватает на всех :( пожалуйста, помогите! :rolleyes:
/tmp/etc/dnsmasq.conf
Только чтобы изменения сохранялись и работали требуется:
1. Добавить приведенную выше строку (полный путь к файлу) в файл /tmp/local/.files (если этого файла нет, то создать его)
2. После каждой правки конфига DHCP не забывать выполнять flashfs save && flashfs commit
3. Отключить в веб-интерфейсе DHCP-сервер и запускать его из post-boot вручную
если речь идет о привязке mac к ip, то добавлять в файл /usr/local/etc/ethers
При загрузке он дописывается в конец /etc/ethers
Сохранять: flashfs save && flashfs commit
Запускать вручную dhcp не надо и надо в вебе оставить включенной галку Enable Manual Assignment
[cnT]TanK
17-02-2008, 08:58
а в какой форме маки вписывать?
так:
00:0C:76:CE:B5:4C 10.10.10.1
так:
00-19-5B-73-84-48 10.10.10.2
или так:
00195b6bf5a3 10.10.10.3
:confused: в др ethers разделителем был ":", впишу как там
---
столкнулся с проблемой, после переагрузки роутера исчезакет файл с маками, что делать?
делаю следующее:
telnet ...... авторизуюсь, затем..
cd /usr/local
mkdir etc
cd etc
touch ethers
в ethers через vi - редактор вписываю маки(с разделителем ":") и ипы
00:0C:76:CE:B5:4C 10.10.10.1
..... и тд, сохраняю и выхожу из редактора с помошью :wq
файл вроде есть, делаю
flashfs save && flashfs commit
затем ребут роутера и вхожу чрезе телнет по новой, а там ни файла ни папки /usr/local/etc/ethers :( и IP адреса по DHCH не выдаются :(
Как в ethers, этот файл допишется ему в конец после перезагрузки.
[cnT]TanK
17-02-2008, 11:49
Как в ethers, этот файл допишется ему в конец после перезагрузки.
не дописывает :( DCHP только, что с веб страници вписываю работает, что в файлы вписываю вообще не поспринимает, файлы воообще исчезают после перезагрузки О_О из /usr/local/ets/ethers
Lupo_Alberto
17-02-2008, 14:23
Запускать вручную dhcp не надо и надо в вебе оставить включенной галку Enable Manual Assignment
Я не заметил разницы между включенной и выключенной Enable Manual Assignment. Поправьте меня, если я ошибаюсь, эта опция влияет только на настройки через web-интерфейс?
не дописывает DCHP только, что с веб страници вписываю работает, что в файлы вписываю вообще не поспринимает, файлы воообще исчезают после перезагрузки О_О из /usr/local/ets/ethers
Сделал всё, как указывал al37919.
Создал
/usr/local/etc/ethers, вписал MAC и нужный IP в виде
00:00:00:00:00:00 192.168.1.100
потом flashfs save && flashfs commit, перегружаюсь и всё в порядке :p
И в связи с поднятой темой у меня возник вопрос, требующий объяснения:
Из всей сети у меня роутер Asus wl500gP, ноутбук и домашний компьютер. Всё это через ADSL-модем (в режиме моста, как я понимаю) по PPPoE подключено к Internet, роутер сконфигурирован как Home Gateway
Некоторые его настройки:
Lan Ip Setting
IP Address: 192.168.1.1
Subnet Mask: 255.255.255.0
IP Config - DHCP Server
Enable the DHCP Server? Yes
Domain Name:
IP Pool Starting Address: 192.168.1.2
IP Pool Ending Address: 192.168.1.254
Assign IP Address Manually
Enable Manual Assignment? No
Вывод команды ipconfig на роутере:
br0 Link encap:Ethernet HWaddr 00:1B:FC:D4:67:D8
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fed4:67d8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5549 errors:0 dropped:0 overruns:0 frame:0
TX packets:5548 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:395073 (385.8 KiB) TX bytes:2640931 (2.5 MiB)
eth0 Link encap:Ethernet HWaddr 00:1B:FC:D4:67:D8
inet6 addr: fe80::21b:fcff:fed4:67d8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1091 errors:0 dropped:0 overruns:0 frame:0
TX packets:1118 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:504452 (492.6 KiB) TX bytes:138457 (135.2 KiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:1B:FC:D4:67:D8
inet6 addr: fe80::21b:fcff:fed4:67d8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5541 errors:0 dropped:0 overruns:0 frame:0
TX packets:5561 errors:4 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:471918 (460.8 KiB) TX bytes:2731525 (2.6 MiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1556 errors:0 dropped:0 overruns:0 frame:0
TX packets:1556 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:133718 (130.5 KiB) TX bytes:133718 (130.5 KiB)
vlan0 Link encap:Ethernet HWaddr 00:1B:FC:D4:67:D8
inet6 addr: fe80::21b:fcff:fed4:67d8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:1357 (1.3 KiB)
vlan1 Link encap:Ethernet HWaddr 00:1B:FC:D4:67:D8
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21b:fcff:fed4:67d8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1091 errors:0 dropped:0 overruns:0 frame:0
TX packets:1102 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:484814 (473.4 KiB) TX bytes:136952 (133.7 KiB)
Вывод команды ipconfig на ноутбуке:
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:21 errors:0 dropped:0 overruns:0 frame:0
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2256 (2.2 Kb) TX bytes:2256 (2.2 Kb)
wlan0 Link encap:Ethernet HWaddr 00:18:DE:78:63:7E
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13953 errors:0 dropped:0 overruns:0 frame:0
TX packets:13486 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6735836 (6.4 Mb) TX bytes:1222014 (1.1 Mb)
wmaster0 Link encap:UNSPEC HWaddr 00-18-DE-78-63-7E-D0-F9-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Долгое вступление, извините...
Никак не могу разобраться, IP-адреса для br0 (192.168.1.1), vlan1 ( 192.168.1.2) на роутере и wlan0 (192.168.1.100) относятся к одной сети?
И вообще, что в данном случае означает эта конфигурация - br0, eth0, eth1, vlan0, vlan1;
почему у них у всех одинаковый HWaddr ?
TanK;83456']/usr/local/ets/ethers
/usr/local/etc/ethers
[cnT]TanK
18-02-2008, 03:24
/usr/local/etc/ethers
спасибо :) :)) на роутере писал правильно, flashfs enable - перед этим сделал и стали изменения сохраняться!
в файл /etc/ethers - дописались записи MAC + IP.
сейчас буду проверять, работает ли....
п.с. еще 2 вопроса: post-boot - чего ето :) и еще как роутер из консоли перезагрузить?
------------
хм, не робит, в вебе отключил DHCP потом отключил мануал, потом включил только мануал dhcp, потом включил все, выдает ипы из пула, причем, если меняю маки на др устройствах - не присваивает ипы (проверял перебивкой маков на сетевухе из списка маков в роутере - должен присваивать чужие маки!) как только ставлю родной мак - определяет нужный ИП как так?
----
нашел причину :))) как всегда ступил :)) поставил мак фильтр :))) чтобы доступ ограничить другим компам на марншрутизатор и пытался чужие маки вбил, само собой фильтр смотрел, что чет здесь не то и блочил :)))))) СПАСИБО ВСЕМ :))
---
вопрос такой, DHCP - если у меня будет 2 сервера: один сервак - комп - настроена выдача ипов по макам. т.е. DHCP + роутер будет работать - как резерв, пока я к примеру сервак ребучу или железо меняю на нем или винты новые добавляю или еще чего-нибудь форс мажорное, типо отключения света, хотя счас на нем АПС стоит, так что это уже не страшно, кто будет выдавать ипы? сервак с ипом 10.10.10.1 или маршрутизатор с ипом 10.10.10.254 ??? поидее же 10.10.10.1 - тк броадкаст до него быстрее дойдет? или как? :)
п.с. если найду инфу - напишу снизу ответ, а пока спрашиваю всех присутствующих :) извините за москойопстфо, прсото хочется побольше знать :)
Всем доброго времени суток, подскажите пожалуйста возможно ли, и как сделать так : мне срочно нужно ограничить определеным компам (IP адресам) скорость на определенные IP адреса, и количество потоков скачивания с этих адресов. очень срочно нужно ограничить скорость одному компу на скачивание торентов, например.
хотел еще сделать список ибранных мас-адресов, тоесть тех что имеет доступ в инет, зашел в Internet Firewall - MAC Filter поставил MAC Filter Mode: Accept ввел 3 мас адреса, но инет есть и у этих 3х и у всех остальных у кого поставлены реквизиты (IP, маска, шлюз, DNS)
устройство WL-500g Premium, прошивка WL500gp-1.9.2.7-10
Поднял я про ограничения трафика на форуме тему http://wl500g.info/showthread.php?t=13877 с начала апреля. "Начальство" не замечает, остальные пишут заумные вещи и предлагают изучать маршрутизацию в линуксе. Похоже, никто ничего сам не настраивал, и объяснять толком не хотят/не могут. :(
я немного понял что там написано, но мне все же кажется если что то исправить то можно получить желаемый результат....
http://linux.yaroslavl.ru/docs/gazette/lg/rus/articles/adsl_bandwidth_management-howto.html
vovanich
08-11-2008, 13:32
Добрый день! возникла проблема на роутере Wl-500gp V2, а именно не хватает стандартных 16 ограничений в фильтре MAC. Как можно увеличить количество ограничений, если конечно можно???
заранее спасибо.
Вас который из двух интересует: Wireless - Access Control или Internet Firewall - MAC Filter?
vovanich
08-11-2008, 13:57
internet Firewall - MAC Filter
AndreyPopov
08-11-2008, 14:01
Добрый день! возникла проблема на роутере Wl-500gp V2, а именно не хватает стандартных 16 ограничений в фильтре MAC. Как можно увеличить количество ограничений, если конечно можно???
заранее спасибо.
только на альтернативной прошивке, прописывая их в файл post-firewall
vovanich
08-11-2008, 14:04
Подскажите пожалуйста по подробнее как отредактировать post-firewall.
Моя прошивка 0.0.0.2 от Олега.
AndreyPopov
08-11-2008, 14:12
Подскажите пожалуйста по подробнее как отредактировать post-firewall.
Моя прошивка 0.0.0.2 от Олега.
прошейте нормальную 1.9.7.2-10 или лучше отсюда http://koppel.cz/cdmawifi/download/171/
если хотите, чтобы wifi работал нормально.
и тут есть тема "интсрукция по настройке с нуля"
читайте!
vovanich
10-11-2008, 15:11
Спасибо, буду пробовать.
Роутер 500gp, 1.9.2.7-10.
Есть DHCP и на определенном MAC забит определнный IP. И оно работало как надо недели полторы, но с какого то момента - перестало. Я ничего не менял ВООБЩЕ. Просто перегрузил машину. DHCP сервер игнорирует таблицу. Как такое чинят?
Роутер 500gp, 1.9.2.7-10.
Есть DHCP и на определенном MAC забит определнный IP. И оно работало как надо недели полторы, но с какого то момента - перестало. Я ничего не менял ВООБЩЕ. Просто перегрузил машину. DHCP сервер игнорирует таблицу. Как такое чинят?
проверьте syslog.log на предмет ошибок dhcpd
+ если на машине есть какиенить дополнительные навесы и нет свап раздела, то она могла грохнуть дхцп для освобождения памяти под что то необходимое =)
проверьте syslog.log на предмет ошибок dhcpd
Прочухалось после нескольких загрузок, так что следов не осталось :)
если на машине есть какиенить дополнительные навесы и нет свап раздела, то она могла грохнуть дхцп для освобождения памяти под что то необходимое =)
Только multi-wan (http://wl500g.info/showthread.php?t=6208) и внутри сети есть torrent-клиент (НЕ на роутере), скорости 8+8мегабит, соединений много.
WhiteInfina
27-01-2009, 11:01
Имеется:
Wl500g deluxe. 1 вайфай клиент. лан сеть, и адсл модем, вставленный в ван.
точка поднимает pptp к провайдеру, все отлично работает. Прописаны маки в MAC Filter, пускать только указанных. маков около 10 штук.
прописываю LAN to WAN Filter, чтобы в определенное время запретить доступ в ван для всех ип, кроме укахзанных - ничего не работает... точнее, ничего не изменяется, доступ в инет есть у всех маков, прописанных в мак фильтре..
такое ощущение, что если мак присутствует в мак фильтре, и ему доступ разрешен - другие фильтры не отрабатывают вообще... :(
Как поступить? В итоге, надо сделать так:
Х компьютеров имеет доступ в инет, через подключенный в ван адсл модем.
В определенное время, инет полностью отваливается у Y компов, остальные ничего не замечают..
Я почему-то был уверен, что прописав мак фильтр - пущу в роутер только определенные маки, и прописав правила в LAN to WAN filter - с необходимым временем - все будет работать так как надо, и из допущенных - остальные будут отваливаться...
Как быть?
PS. Прошивка Олега, 1.9.2.7-9.
WhiteInfina
27-01-2009, 11:41
Похоже, так и есть... как только в MAC Filter ставлю disabled, iptables -L -vn -t filter - выдает кучу правил. если мак фильтр включен - правила никакие не рисуются вообще.. просто заголовки, и все..
Вроде бы решил так:
echo "#!/bin/sh"> /usr/local/sbin/post-firewall
echo "iptables -i br0 -I FORWARD -m time --timestart 09:00:00 --timestop 18:00:00 --days Mon,Tue,Wed,Thu,Fri -j DROP">> /usr/local/sbin/post-firewall
echo "iptables -i br0 -I FORWARD -m time --timestart 09:00:00 --timestop 18:00:00 --days Mon,Tue,Wed,Thu,Fri -s 192.168.1.2 -j ACCEPT">> /usr/local/sbin/post-firewall
echo "iptables -i br0 -I FORWARD -m time --timestart 09:00:00 --timestop 18:00:00 --days Mon,Tue,Wed,Thu,Fri -s 192.168.1.3 -j ACCEPT">> /usr/local/sbin/post-firewall
echo "iptables -i br0 -I FORWARD -m time --timestart 09:00:00 --timestop 18:00:00 --days Mon,Tue,Wed,Thu,Fri -s 192.168.1.4 -j ACCEPT">> /usr/local/sbin/post-firewall
echo "iptables -i br0 -I FORWARD -m time --timestart 09:00:00 --timestop 18:00:00 --days Mon,Tue,Wed,Thu,Fri -s 192.168.1.5 -j ACCEPT">> /usr/local/sbin/post-firewall
flashfs save
flashfs commit
flashfs enable
+ включен фильтр маков... пока работает. Или сделал что-то совсем не правильное, и повылазят косяки?..
И будет ли оно обрабатывать (разрывать, и совсем не трогать соединения с указанных ипшек) УЖЕ установленные соединения, при наступлении необходимого времени?..
в каком файле хранятся выданные по DHCP ip адреса?
то есть как программно посмотреть какому MAC соответствует какой IP, в списке желательно. спасибо.
По сигналу SIGALRM процесс dnsmasq записывает текущие значения в файл /tmp/dnsmasq.log. Соответственно
killall -SIGALRM dnsmasq # или kill -SIGALRM `cat /var/run/dnsmasq.pid`
cat /tmp/dnsmasq.log
Но учтите, после перезагрузки роутера они забываются, так что если комп сначала получил IP, а потом роутер перезагрузили, то того IP в списке уже не не будет.
в каком файле хранятся выданные по DHCP ip адреса?
то есть как программно посмотреть какому MAC соответствует какой IP, в списке желательно. спасибо.
Когда-то мне надо было, я смотрел в логе: cat /tmp/syslog.log | grep DHCPOFFER
Если надо знать Ху-из-Ху лучше сделать привязку mac-IP. Если задавать в веб-оболочке, список будет сформирован в /etc/ethers
А как правильно реализовать: запрет на подключение к wi-fi при помощи фильтрации по mac из фала? т.е. для исключения подключения к роутеру посторонних людей
ConstAntz
16-01-2011, 18:47
А как правильно реализовать: запрет на подключение к wi-fi при помощи фильтрации по mac из фала? т.е. для исключения подключения к роутеру посторонних людей
Asus->Wireless->Access Control
_http://my.router/Advanced_ACL_Content.asp
Asus->Wireless->Access Control
_http://my.router/Advanced_ACL_Content.asp
Да через морду это понятно и неинтересно:) Хочу научится делать настройки вручную.
Пока я себе представляю это как то так: (я еще новичек в linux, так что простите за ошибки)
#Разрешим определенному компу пользоваться wi-fi
iptables -A INPUT -i eth1 -p all --mac-source xx:xx:xx:xx:xx:x1 -j ACCEPT
iptables -A FORWARD -i eth1 -p all --mac-source xx:xx:xx:xx:xx:x1 -j ACCEPT
#Неизвестные компы идут лесом
iptables -A INPUT -i eth1 -p all -j DROP
iptables -A FORWARD -i eth1 -p all -j DROP
Ну а дальше я так понимаю нужно будет собрать в файл нужные маки и с помощью grep и awk (я их только начал изучать) написать пару красивых строчек кода. Я хоть в правильном направлении думаю?
-----
Правда если я указываю в правиле интерфейсы eth1 или eth2 то правило не срабатывает ( А если без указания интерфейса то правило действует и на LAN и на Wi-Fi. А хотелось бы только для Wi-Fi
Dart Vader
20-02-2011, 07:57
Подскажите как отключить приставку PS3 от внешней сети по MAC адресу?
Роутер ASUS RT-N16. Подключение по WiFi. Или подскажите где посмотреть
Да через морду это понятно и неинтересно:) Хочу научится делать настройки вручную.
Пока я себе представляю это как то так: (я еще новичек в linux, так что простите за ошибки)
Нет не правильно ... iptables правила нужны для ограничения действующих соединений ... Безопасность вафли по другому работает. Если без подробностей то разрешеные для конекта к вафле пишутся в nvram:
nvram show | grep wl0_maclist
Подскажите как отключить приставку PS3 от внешней сети по MAC адресу?
Роутер ASUS RT-N16. Подключение по WiFi. Или подскажите где посмотреть
Например так
iptables -I FORWARD -o ! br0 -s IP_ADDR_PS3 -m mac --mac-source MAC_ADDR_PS3 -j DROP
Это исключит возможность приставке соединяться с чем угодно за пределами локалки роутера (провод+вафля)
Собственно требуется следующие. Выдать 10 компьютерам статические айпи адресса без DHCP и привязать их по мак адресу. В случае если юзер попробует изменить айпи инет у него работать не будет.
Какие правила нужно прописать в Iptables. Подскажите... Сам недавно начал осваивать эту железку.
подскажите немного непонял. Нужно сделать четкую привязка IP - MAC
в веб морде не работает... Какие правила прописать нужно?
Собственно требуется следующие. Выдать 10 компьютерам статические айпи адресса без DHCP и привязать их по мак адресу. В случае если юзер попробует изменить айпи инет у него работать не будет.
подскажите немного непонял. Нужно сделать четкую привязка IP - MAC
в веб морде не работает... Какие правила прописать нужно?
Откуда знаете, что не работает?
Где лог роутера? Как настраивали?
Настраивал таким образом через веб морду. Во вкладке выбрано раздача IP Manual туда вписаны айпи адресса с маками. Пробовал менять свой айпи на другой работает... и весь адрессный пул доступен... до 255 хотя там всего прописано 5 айпи адрессов... т.е эти блокировки не работают.
Настраивал таким образом через веб морду. Во вкладке выбрано раздача IP Manual туда вписаны айпи адресса с маками. Пробовал менять свой айпи на другой работает... и весь адрессный пул доступен... до 255 хотя там всего прописано 5 айпи адрессов... т.е эти блокировки не работают.
А кто сказал, что привязка IP к МАС - это блокировка доступа?
Это просто квази-статическая IP адресация, для удобства управления.
У Вас описано несколько задач. Вот последовательно их и делайте.
я же и пытаюсь. Подскажите как привязать конкретный айпи к мак адрессу и чтобы срабатывала блокировка при смене айпи.
я же и пытаюсь. Подскажите как привязать конкретный айпи к мак адрессу и чтобы срабатывала блокировка при смене айпи.
Привязка через веб-морду в настройках DHCP... Запреты через post-firewall...
я пробовал через веб морду все это сделать. Толку нет. Меняешь айпи на любой и инет работает. Объясните какими правилами можно сделать запрет. Что написать в iptables
я пробовал через веб морду все это сделать. Толку нет. Меняешь айпи на любой и инет работает. Объясните какими правилами можно сделать запрет. Что написать в iptables
Поиск уже отменили??? http://www.opennet.ru/docs/RUS/iptables/
http://wl500g.info/showthread.php?t=22673&highlight=%EE%E3%F0%E0%ED%E8%F7%E5%ED%E8%E5+%E0%E4 %F0%E5%F1%F3
Спасибо за полезные ссылки. Но к сожалению не все понятно. Напишите мне а Л.С как организовать привязку мак айпи.
Спасибо за полезные ссылки. Но к сожалению не все понятно. Напишите мне а Л.С как организовать привязку мак айпи.
Первая ссылка очень подробное и простое описание что есть правила iptables. Вторая ссылка готовое решение вашей проблемы. Если ссылки не помогли то вызывайте мастера за деньги ...
Всем добрый день! Подскажите можно как-то порезать исходящую скорость на роутере. В вебморде можно резать только Download.
подскажите пожалуйста, как изменить список маков которым дозволено выходить наружу через роутер? есть цепочка MACS, но я никак не пойму как ее редактировать :(
форум обрыл, ничего не нашел
помогите, через веб-интерфейс добавлять - не вариант:confused:
подскажите пожалуйста, как изменить список маков которым дозволено выходить наружу через роутер? есть цепочка MACS, но я никак не пойму как ее редактировать :(
форум обрыл, ничего не нашел
помогите, через веб-интерфейс добавлять - не вариант:confused:
Через веб-морду только привязка МАС к IP... Запрет читай здесь (http://wl500g.info/showthread.php?t=22673)
Через веб-морду только привязка МАС к IP... Запрет читай здесь (http://wl500g.info/showthread.php?t=22673)
вообще-то есть запрет через веб-морду Internet Firewall - MAC Filter List
и как через консоль разобрался:
iptables -I MACS -m mac --mac-source 11:11:11:11:11:11 -j RETURN
может кому пригодится:cool:
вообще-то есть запрет через веб-морду Internet Firewall - MAC Filter List
и как через консоль разобрался:
iptables -I MACS -m mac --mac-source 11:11:11:11:11:11 -j RETURN
может кому пригодится:cool:
Может и работает через веб-морду ... Я ее не особо проверял ... ИМХО "Bandwidth Management" тоже должен регулировать скорость, но долгое время не работал .... Как сейчас не знаю ... Прописывать правила "в ручную" надежнее ...
Добрый день!
Не нашел нигде на форуме такой заморочки. Каким образом можно запретить хождение всех маков исключительно в LAN (не wan в lan и не lan в wan, только между устройствами в lan) кроме избранных. Работа, как бы, в режиме отсеивания. (не закрыть доступ к самому wl-500gp, а чтоб другие устройства не внесенные в "список маков" не видели друг друга, а внесенные спокойно между собой общались? Чую надо копать в сторону iptables, реализовывал уже кто нибудь такое?
niker157
09-02-2012, 13:49
Подскажите плз какая длина таблицы фильтрации по mac адресам для выхода в WAN из LAN (т. е . каково максимальное число строк в этой таблице) в маршрутизаторе WL-500 gpV2. Сейчас пользую WL-520. Там эта таблица ограничена 16 строками. А нужно около 30. Тот же вопрос и для RT-N13 или аналогичных.
Подскажите, а почему в логах не пишится адрес компа привязаный по мак? А другой пишится?
Логи:
86400 d4:20:6d:09:67:a8 192.168.1.195 HTC *
9118
И самое главное, не пишится привязка ip компа....
Приветствую.
На Asus RT-N16 залита прошивка 1.9.2.7-rtn. При попытке зарезервировать в демоне DHCP выдачу определённому MAC-адресу нужный IP возникает фейл: в поле "MAC Address" (подменю "DHCP Server") нельзя вписать полный MAC-адрес - последние 2 цифры не принимаются. Выделение заданного IP-адреса без последнего октета не происходит.
Вопрос: что я делаю не так?
Заранее спасибо.
Нужно вписывать MAC без разделителей (двоетичий).
helicopter
25-10-2014, 19:22
Нет не правильно ... iptables правила нужны для ограничения действующих соединений ... Безопасность вафли по другому работает. Если без подробностей то разрешеные для конекта к вафле пишутся в nvram:
nvram show | grep wl0_maclist
А можно поподробнее. Хотелось бы добавлять белый список MAC-адресов в ACL из файлика.
Пробовал
nvram set wl0_maclist=00:00:00:00:00:00
nvram commit
планируя потом вставить в post-mount, например, но не получилось.
С привязкой IP к mac-адресу быстро разобрался, а тут что-то никак. :(
helicopter
01-11-2014, 17:13
Пробовал
nvram set wl0_maclist=00:00:00:00:00:00
nvram commit
При включенном ACL (не важно через морду или через wl_macmode=allow) изменения в nvram wl0_maclist после reboot не сохраняются, если ACL выключен, то сохраняются, но смысла в них нет. Так и не догадался как сделать чтобы данные из морды их не перетирали. :(
Построчно сравнил nvram с включенным через морду ACL и без него и нашёл этот wl_macnum_x. :)
Неужели никто подсказать не мог???