Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Ograniczenie dostępu do jednego urządzenia w lan
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam,
jest taka sytuacja: w sieci lokalnej jest czujnik sonoff podłączony przez wifi, który komunikuje się z serwerem domoticz ( w tej samej sieci po kablu ). Niestety interfejs www czujnika nie jest zabezpieczony i dostępny dla każdego w lan. Jak zrobić, aby łączność czujnik <-> serwer była bezproblemowa, a dostęp do www czujnika był tylko dla określonych MAC? Oczywiście domoticz też dostępny dla wszystkim, bo to stoi na serwerze NAS.
Regułki na forward dla określonych maców i ubijające ruch dla reszty do tego urządzenia.
Dałem tak żeby zablokować:
iptables -I FORWARD -p tcp -d 192.168.1.172 --dport 80 -j REJECTale nie blokuje
Jak i czym sprawdzasz? Masz włączoną izolację klientów bezprzewodowych?
No po prostu dopisałem linię w sieć/zapora/własne reguły ( Luci ) i restartowałem zaporę.
W opcji 'Stan firewalla' w sekcji 'Łańcuch FORWARD' widzę linię:
0 0.00 B REJECT tcp * * 0.0.0.0/0 192.168.1.172 tcp dpt:80 reject-with icmp-port-unreachable
No i otwieram adres 192.168.1.172 w przeglądarce.
Nie ma izolacji włączonej. Powinna być?
Jeżeli drugi jest bezprzewodowy to tak.
ustawiłem izolację:
# cat /etc/config/wireless
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11g'
option path 'platform/ar934x_wmac'
option country 'PL'
option channel '5'
option htmode 'HT40'
option isolate '1'Po restarcie nadal mogę wejść na stronę 192.168.1.172 ( to www na sonoff, przez wifi ).
To zrób to na ebtables
opkg install ebtables
ebtables -I FORWARD --logical-in br-lan -o wlan0 --dst XX:XX:XX:XX:XX:XX -j DROP -p IPV4
Za XX:XX:XX:XX:XX:XX podstaw mac adres sonoff
Cezary,
Nawiązując do tego tematu:
https://eko.one.pl/forum/viewtopic.php? … 30#p246330
to może warto w tym miejscu wyjaśnić jaka jest różnica między Forward-ami i jak dokładnie przechodzą pakiety w łańcuchach.
W jednym przypadku FORWARD na bramę działa, a w tym przypadku już nie działa.
W obu przypadkach odbywa się FORWARD w sieci LAN i przechodzi przez Openwrt.
Tu nie ma pchania pakietów na gateway i dalej w świat, tu wszystko dzieje się w obrębie lanu (i co więcej - nawet w obrębie samego bridge).
Zabawne, bo samo zainstalowanie ebtables spowodowało, że podany wcześniej wpis iptables zaczął działać 
Pobrał i zainstalował następujące moduły:
kmod-llc.
kmod-stp.
kmod-bridge.
kmod-br-netfilter.
kmod-ebtables.
ebtables.
Dodałem taką linię do odblokowania dla określonego MAC:
iptables -I FORWARD -p tcp -m mac --mac-source tu_mac_ktory_ma_działać -d 192.168.1.172 -j ACCEPTWygląda że działa, ale możesz potwierdzić że jest poprawna?
Które musi być wykonane PO wszystkich innych regułach, tak.
I wszystko gra!
Dzięki za pomoc.
Tu nie ma pchania pakietów na gateway i dalej w świat, tu wszystko dzieje się w obrębie lanu (i co więcej - nawet w obrębie samego bridge).
No tak, ale w sytuacji z przytoczonego przeze mnie tematu, FORWARD pakietów też odbywał się w obrębie switcha na kliencie2 :
Sytuacja nr 1
klient1 LAN klient2 LAN Router LAN + WAN (46.113.1.180)
192.168.1.100 -> 192.168.1.200 -> 192.168.1.250
klient1 wysyła zapytania do klienta2 a ten tylko FORWARD-uje do następnego klienta, który ma wyjście na świat.
Klient2 NIE MA portu WAN, nie robi maskarady, NAT-ów, VLAN-ów, wydzielonych portów i innych cudów, wszystko leci w jednej adresacji 192.168.1.0/24 czyli w adresacji jego switcha, a jednak firewall działa i można odcinać klienta1 BEZ stosowania ebtables.
Sytuacja nr 2
klient1 LAN Router LAN + WAN (46.113.1.180) klient3 LAN
192.168.1.100 -> 192.168.1.200 -> 192.168.1.250
Tutaj też w routerze wszystko odbywa się na switchu. Router też FORWARD-uje pakiety między klientami i w tym momencie firewall tego nie widzi.
Przytoczony wątek ( https://eko.one.pl/forum/viewtopic.php? … 30#p246330 ) opisywał sytuację kiedy chcesz zablokować dostęp do internetu, czyli całkiem innej adresacji niż lan.
Zgadza się, ale... klient2 (ten w środku i tylko na nim skupmy swoją uwagę) w obu przypadkach tylko FORWARD-uje pakiety w obrębie tej samej sieci. On nic nie wysyła do obcej sieci, ponieważ:
w przyp.1: klient1 (1.100) chce gadać ze światem przepuszczając pakiety przez klient2 (1.200) który z obu stron (po lewo i prawo) ma tą samą sieć, wszystko na switchu. Nie ma u siebie WAN-u.
Co w tym przypadku myśli klient2 dostając pakiet od klienta1?
Pakiet nie jest dla mnie, więc puszczę go do klienta3 i niech on się martwi co z tym zrobić.
w przyp 2: klient1 (1.100) chce gadać z klientem3 (1.250) i musi przepuścić pakiety przez klienta2 (1.200) który przerzuca pakiety wewnątrz własnego switcha
Co w tym przypadku myśli klient2 (ten w środku) dostając pakiet od klienta1?
Pakiet nie jest dla mnie, więc puszczę go do klienta3 i niech on się martwi co z tym zrobić.
Wszystko dzieje się wewnątrz własnego switcha.
Ogólne działanie jest to samo. Przerzucić pakiety dalej.
Kolejne pytanie.
Kiedy pakiet przechodzi przez CPU danego urządzenia?
a) między strefami LAN i WAN na tym samym urządzeniu
b) w tej samej strefie LAN pod warunkiem, że.......
Przechodzi przez cpu kiedy pakiet skierowany jest do danego urządzenia.
Taka sytuacja:
router
wan lan (switch) -- klient2
|
klient1router który w sobie switch (fizyczny). Można to rozpisać dla jasności logicznie tak:
router
wan lan
|
(switch) -- klient2
|
klient1Jak klient1 wyśle pakiet do klient2 to przechodzi to przez fizyczny switch i router na to nie reaguje, nie przechodzi to przez jego cpu.
Jeżeli klient1 wyśle pakiet do internetu to z tabeli routingu wynika że adresowany on jest do routera, więc router dalej z nim się bawi, a cpu klient2 w ogóle nie bierze w tym udziału.
I sytuacja z przytoczonego wątku - przestawiamy trasę domyślą na kliencie1 wskazując go na klienta2. Pakiet wysłany do internetu z klienta1 idzie na trasę domyślną, czyli do klienta2. Dalej na kliencie to kwestia routingu, nie jest z jego adresacji więc idzie na router, a ten dalej w świat itd.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Ograniczenie dostępu do jednego urządzenia w lan
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc