Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Gargoyle: Izolacja sieci gościnnej od LAN
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Chciałbym odizolować urządzenia podpięte do sieci gościnnej od całej reszty sieci. Ma być tylko dostęp do internetu. Czy da się to wyklikać? Jeśli nie, czy można nieśmiało zasugerować dodanie takiego "ptaszka"?
A nie jest tak domyślnie? Powinno, jeżeli tak jest to od razu zgłaszaj to
No właśnie przełączyłem wi-fi z sieci podstawowej na gościnną i mam dostęp do NAS, udziałów routera (akurat tu się pyta o hasło), ale nie jestem odcięty. Wprawdzie nie przelogowałem się/restartowałem tabletu.
Zgłaszaj że izolacja na ebtables znów nie działa.
...i muszę zakładać konto aby zgłosić... Proszę aby ktoś potwierdził moje spostrzeżenia, bo może system mi coś zapamiętał.
Potwierdzam u mnie też z sieci gościnnej jest dostęp do wszystkich zamontowanych dysków.
Na jakich modelach routerów to macie? Czasami nie na nexx?
MR3420V2 z firmware 842NV2
Po włączeniu sieci gościnnej - pokaż uci show wireless
Zrobione będąc na sieci gościnnej:
root@MR3420:~# uci show wireless
wireless.radio0=wifi-device
wireless.radio0.type='mac80211'
wireless.radio0.channel='11'
wireless.radio0.hwmode='11g'
wireless.radio0.path='platform/ar934x_wmac'
wireless.radio0.htmode='HT20'
wireless.radio0.noscan='1'
wireless.radio0.country='PL'
wireless.ap_g=wifi-iface
wireless.ap_g.device='radio0'
wireless.ap_g.mode='ap'
wireless.ap_g.network='lan'
wireless.ap_g.disassoc_low_ack='0'
wireless.ap_g.macfilter='allow'
wireless.ap_g.maclist='00:92:C3:AF:46:E9 74:DE:2B:E4:60:B7 70:F3:95:36:A1:D4 D0:B3:3F:6B:EF:DE B4:30:52:13:28:E0 FC:A1:3E:73:A0:9E 00:13:D4:20:7A:5E 00:11:50:EB:03:02 00:92:C3:AF:48:5F 00:08:CA:44:5F:5F 8C:77:16:F2:1E:D2 00:16:CF:C8:D3:67 00:0F:95:CB:6E:7C 5C:93:A2:E3:65:77 20:68:9D:4B:03:EF'
wireless.ap_g.ssid='ZIBI-LTE'
wireless.ap_g.encryption='psk2'
wireless.ap_g.key='HASLO1'
wireless.ap_gn_g=wifi-iface
wireless.ap_gn_g.device='radio0'
wireless.ap_gn_g.mode='ap'
wireless.ap_gn_g.network='lan'
wireless.ap_gn_g.disassoc_low_ack='0'
wireless.ap_gn_g.is_guest_network='1'
wireless.ap_gn_g.macaddr='0c:99:78:e2:e5:53'
wireless.ap_gn_g.macfilter='allow'
wireless.ap_gn_g.maclist='00:92:C3:AF:46:E9 74:DE:2B:E4:60:B7 70:F3:95:36:A1:D4 D0:B3:3F:6B:EF:DE B4:30:52:13:28:E0 FC:A1:3E:73:A0:9E 00:13:D4:20:7A:5E 00:11:50:EB:03:02 00:92:C3:AF:48:5F 00:08:CA:44:5F:5F 8C:77:16:F2:1E:D2 00:16:CF:C8:D3:67 00:0F:95:CB:6E:7C 5C:93:A2:E3:65:77 20:68:9D:4B:03:EF'
wireless.ap_gn_g.ssid='ZIBI-GOSCINNA'
wireless.ap_gn_g.isolate='1'
wireless.ap_gn_g.encryption='psk2'
wireless.ap_gn_g.key='HASLO2'Zrób /etc/init.d/firewall stop; /etc/init.d/firewall start i zobacz czy coś ciekawego wypisał.
Dalej dośtęp. Mogę czytać i zapisywać na nośnikach.
No to jeszcze ja - WNDR3800:
root@Gargoyle:~# uci show wireless
wireless.radio0=wifi-device
wireless.radio0.type='mac80211'
wireless.radio0.channel='11'
wireless.radio0.hwmode='11g'
wireless.radio0.path='pci0000:00/0000:00:11.0'
wireless.radio0.htmode='HT20'
wireless.radio0.noscan='1'
wireless.radio0.country='PL'
wireless.radio1=wifi-device
wireless.radio1.type='mac80211'
wireless.radio1.channel='36'
wireless.radio1.hwmode='11a'
wireless.radio1.path='pci0000:00/0000:00:12.0'
wireless.radio1.htmode='HT20'
wireless.radio1.noscan='1'
wireless.radio1.country='PL'
wireless.ap_g=wifi-iface
wireless.ap_g.device='radio0'
wireless.ap_g.mode='ap'
wireless.ap_g.network='lan'
wireless.ap_g.disassoc_low_ack='0'
wireless.ap_g.ssid='Gargoyle'
wireless.ap_g.encryption='psk2'
wireless.ap_g.key='xxx'
wireless.ap_gn_g=wifi-iface
wireless.ap_gn_g.device='radio0'
wireless.ap_gn_g.mode='ap'
wireless.ap_gn_g.network='lan'
wireless.ap_gn_g.disassoc_low_ack='0'
wireless.ap_gn_g.is_guest_network='1'
wireless.ap_gn_g.macaddr='c0:09:60:7f:ec:f2'
wireless.ap_gn_g.ssid='GargoyleGoscinna'
wireless.ap_gn_g.isolate='1'
wireless.ap_gn_g.encryption='psk2'
wireless.ap_gn_g.key='xxx'
wireless.ap_a=wifi-iface
wireless.ap_a.device='radio1'
wireless.ap_a.mode='ap'
wireless.ap_a.network='lan'
wireless.ap_a.disassoc_low_ack='0'
wireless.ap_a.ssid='Gargoyle_5GHz'
wireless.ap_a.encryption='psk2'
wireless.ap_a.key='xxx'
wireless.ap_gn_a=wifi-iface
wireless.ap_gn_a.device='radio1'
wireless.ap_gn_a.mode='ap'
wireless.ap_gn_a.network='lan'
wireless.ap_gn_a.disassoc_low_ack='0'
wireless.ap_gn_a.is_guest_network='1'
wireless.ap_gn_a.ssid='GargoyleGoscinna5GHz'
wireless.ap_gn_a.isolate='1'
wireless.ap_gn_a.encryption='psk2'
wireless.ap_gn_a.key='xxx'Nie powiedziałem że to coś naprawi. Po prostu zrób i zobacz czy nie wypisał jakiegoś błędu.
Jest jakiś Failed:
root@MR3420:~# /etc/init.d/firewall start
Warning: Unable to locate ipset utility, disabling ipset support
Warning: Option @defaults[0].enforce_dhcp_assignments is unknown
* Populating IPv4 filter table
* Zone 'lan'
* Zone 'wan'
* Rule 'Allow-DHCP-Renew'
* Rule 'Allow-Ping'
* Rule 'Allow-IGMP'
* Rule #7
* Rule #8
* Rule 'transmission'
* Rule 'transmission'
* Rule 'Aria2'
* Forward 'lan' -> 'wan'
* Populating IPv4 nat table
* Zone 'lan'
* Zone 'wan'
* Populating IPv4 mangle table
* Zone 'lan'
* Zone 'wan'
* Populating IPv4 raw table
* Zone 'lan'
* Zone 'wan'
* Flushing conntrack table ...
* Set tcp_ecn to off
* Set tcp_syncookies to on
* Set tcp_window_scaling to on
* Running script '/etc/firewall.user'
* Running script '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
wlan0-1 with mac 0c:99:78:e2:e5:53 is wireless guest
Unable to update the kernel. Two possible causes:
1. Multiple ebtables programs were executing simultaneously. The ebtables
userspace tool doesn't by default support multiple ebtables programs running
concurrently. The ebtables option --concurrent or a tool like flock can be
used to support concurrent scripts that update the ebtables kernel tables.
2. The kernel doesn't support a certain ebtables extension, consider
recompiling your kernel or insmod the extension.
.
Unable to update the kernel. Two possible causes:
1. Multiple ebtables programs were executing simultaneously. The ebtables
userspace tool doesn't by default support multiple ebtables programs running
concurrently. The ebtables option --concurrent or a tool like flock can be
used to support concurrent scripts that update the ebtables kernel tables.
2. The kernel doesn't support a certain ebtables extension, consider
recompiling your kernel or insmod the extension.
.
Unable to update the kernel. Two possible causes:
1. Multiple ebtables programs were executing simultaneously. The ebtables
userspace tool doesn't by default support multiple ebtables programs running
concurrently. The ebtables option --concurrent or a tool like flock can be
used to support concurrent scripts that update the ebtables kernel tables.
2. The kernel doesn't support a certain ebtables extension, consider
recompiling your kernel or insmod the extension.
.
! Failed with exit code 255
* Running script '/usr/share/miniupnpd/firewall.include'
* Running script '/etc/openvpn.firewall'
root@MR3420:~#Ano własnie, dlatego nie ma izolacji. Dobra czekaj, muszę jakiś router z pudła wygrzebać.
Zróbcie
opkg update
opkg install kmod-ebtables-ipv4
reboot
i zobaczcie.
Cezary wygląda że jest OK.
/etc/init.d/firewall start też bez błędów.
Dzięki
@badziewiak?
Jeszcze zrobiłem kilka prób i dostęp z sieci gościnnej wygląda tak:
modem hilink - dostępny
router - blokada
bramka voip - blokada
nośniki - blokada
tvheadend - blokada
transmission - blokada
drukarka siecowa IP - blokada
konsola - blokada
yaaw - dostępny
Wszystko co powinno być blokowane jest poza yaaw.
Gościnna działa bez zarzutu, jest tylko internet bez dostępu do LAN. Tylko nie widzę sieci gościnnej na 5GHz.
root@Gargoyle:~# uci show wireless
wireless.radio0=wifi-device
wireless.radio0.type='mac80211'
wireless.radio0.channel='11'
wireless.radio0.hwmode='11g'
wireless.radio0.path='pci0000:00/0000:00:11.0'
wireless.radio0.htmode='HT20'
wireless.radio0.noscan='1'
wireless.radio0.country='PL'
wireless.radio1=wifi-device
wireless.radio1.type='mac80211'
wireless.radio1.channel='36'
wireless.radio1.hwmode='11a'
wireless.radio1.path='pci0000:00/0000:00:12.0'
wireless.radio1.htmode='HT20'
wireless.radio1.noscan='1'
wireless.radio1.country='PL'
wireless.ap_g=wifi-iface
wireless.ap_g.device='radio0'
wireless.ap_g.mode='ap'
wireless.ap_g.network='lan'
wireless.ap_g.disassoc_low_ack='0'
wireless.ap_g.ssid='Gargoyle'
wireless.ap_g.encryption='psk2'
wireless.ap_g.key='xxx'
wireless.ap_gn_g=wifi-iface
wireless.ap_gn_g.device='radio0'
wireless.ap_gn_g.mode='ap'
wireless.ap_gn_g.network='lan'
wireless.ap_gn_g.disassoc_low_ack='0'
wireless.ap_gn_g.is_guest_network='1'
wireless.ap_gn_g.macaddr='c0:09:60:7f:ec:f2'
wireless.ap_gn_g.ssid='GargoyleGoscinna'
wireless.ap_gn_g.isolate='1'
wireless.ap_gn_g.encryption='psk2'
wireless.ap_gn_g.key='xxx'
wireless.ap_a=wifi-iface
wireless.ap_a.device='radio1'
wireless.ap_a.mode='ap'
wireless.ap_a.network='lan'
wireless.ap_a.disassoc_low_ack='0'
wireless.ap_a.ssid='Gargoyle_5GHz'
wireless.ap_a.encryption='psk2'
wireless.ap_a.key='xxx'
wireless.ap_gn_a=wifi-iface
wireless.ap_gn_a.device='radio1'
wireless.ap_gn_a.mode='ap'
wireless.ap_gn_a.network='lan'
wireless.ap_gn_a.disassoc_low_ack='0'
wireless.ap_gn_a.is_guest_network='1'
wireless.ap_gn_a.ssid='GargoyleGoscinna5GHz'
wireless.ap_gn_a.isolate='1'
wireless.ap_gn_a.encryption='psk2'
wireless.ap_gn_a.key='xxx'root@Gargoyle:~# /etc/init.d/firewall restart
Warning: Unable to locate ipset utility, disabling ipset support
Warning: Option @defaults[0].enforce_dhcp_assignments is unknown
* Flushing IPv4 filter table
* Flushing IPv4 nat table
* Flushing IPv4 mangle table
* Flushing IPv4 raw table
* Flushing conntrack table ...
* Populating IPv4 filter table
* Zone 'lan'
* Zone 'wan'
* Zone 'vpn'
* Rule 'Allow-DHCP-Renew'
* Rule 'Allow-Ping'
* Rule 'Allow-IGMP'
* Rule #7
* Rule #8
* Forward 'lan' -> 'wan'
* Forward 'lan' -> 'vpn'
* Forward 'vpn' -> 'lan'
* Forward 'vpn' -> 'wan'
* Populating IPv4 nat table
* Zone 'lan'
* Zone 'wan'
* Zone 'vpn'
* Populating IPv4 mangle table
* Zone 'lan'
* Zone 'wan'
* Zone 'vpn'
* Populating IPv4 raw table
* Zone 'lan'
* Zone 'wan'
* Zone 'vpn'
* Set tcp_ecn to off
* Set tcp_syncookies to on
* Set tcp_window_scaling to on
* Running script '/etc/firewall.user'
* Running script '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
wlan0-1 with mac c0:09:60:7f:ec:f2 is wireless guest
* Running script '/usr/share/miniupnpd/firewall.include'
* Running script '/etc/openvpn.firewall'Witam
mam pytanie odnośnie sieci gościnnej (wyklikanej w gui na 1.9.0.3 )
na normalnej wifi mam :
wireless.ap_g.macfilter='allow'
wireless.ap_g.maclist= ( lista dozwolonych)
to samo mam na wifi guest
podobnie ma forumowicz zbynex
..... wireless.ap_g.macfilter='allow' wireless.ap_g.maclist='00:92:C3:AF:46:E9 74:DE:2B:E4:60:B7 70:F3:95:36:A1:D4 D0:B3:3F:6B:EF:DE B4:30:52:13:28:E0 FC:A1:3E:73:A0:9E 00:13:D4:20:7A:5E 00:11:50:EB:03:02 00:92:C3:AF:48:5F 00:08:CA:44:5F:5F 8C:77:16:F2:1E:D2 00:16:CF:C8:D3:67 00:0F:95:CB:6E:7C 5C:93:A2:E3:65:77 20:68:9D:4B:03:EF' wireless.ap_g.ssid='ZIBI-LTE' ............. wireless.ap_gn_g.macfilter='allow' wireless.ap_gn_g.maclist='00:92:C3:AF:46:E9 74:DE:2B:E4:60:B7 70:F3:95:36:A1:D4 D0:B3:3F:6B:EF:DE B4:30:52:13:28:E0 FC:A1:3E:73:A0:9E 00:13:D4:20:7A:5E 00:11:50:EB:03:02 00:92:C3:AF:48:5F 00:08:CA:44:5F:5F 8C:77:16:F2:1E:D2 00:16:CF:C8:D3:67 00:0F:95:CB:6E:7C 5C:93:A2:E3:65:77 20:68:9D:4B:03:EF' wireless.ap_gn_g.ssid='ZIBI-GOSCINNA' ..............
i teraz pytanie czy do gościnnej sieci dostęp mają tylko mac adresy podane na liście ??
Tak, hostapd to filtruje na poziomie dostępu do wifi.
Posiadam sieć gościnną xxx na interfejsie 2.4 router wndr 4300 Gargoyle 1.9.1.2 adres domyślny 192.168.1.1.
Chcę aby urządzenia połączone do sieci xxx widziały jedno urządzenie ip 192.168 1.121 podpięte do LAN i mogły by się z nim komunikować. Jak to zrobić?
Skrypt /usr/lib/gargoyle_firewall_util/gargoyle_firewall_util.sh od linii 601 (spójrz do https://github.com/ericpaulbishop/gargo … ll_util.sh)
dodaj sobie np. w linii 620
ebtables -t filter -A INPUT -i "$lif" -p IPV4 --ip-destination 192.168 1.121 -j ACCEPT
i zobacz czy będzie działać. Tak czy siak - musisz w tym pliku dołożyć własne reguły. I później reboot oczywiście po zmianie.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Gargoyle: Izolacja sieci gościnnej od LAN
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc