1 Temat przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Temat: Odciecie Guest Wifi

Czesc

Mam problem z guest wifi: Chcialbym aby goscie nie mogli sie dostac do routera bedac podpieci do wifi(chcialbym zablokowac nawet pingi od strony guesta do routera nie mowiac juz o ssh i https). Chcialem skonfigurowac w firewallu cos w stylu deny any any a pozniej wykluczac poszczegolne uslugi. Jednak cos robie zle i nie moge osiagnac nawet czegos tak prostego. Prosze o pomoc.

Moj konfig:

/etc/config/firewall 

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option src 'WLAN_GUEST'
    option dest_port '53'
    option proto 'tcpudp'
    option target 'ACCEPT'
    option name 'Allow_dhcp'

config rule
    option src 'WLAN_GUEST'
    option src_port '67-68'
    option dest_port '67-68'
    option proto 'udp'
    option target 'ACCEPT'
    option name 'Allow_DNS'

config rule
    option name 'Disable_any_input192'
    option src 'WLAN_GUEST'
    option target 'DROP'
    option src_ip '192.168.0.0/24'
    option dest_ip '192.168.0.1'
    option proto 'all'

config rule
    option name 'Disable_any_input10'
    option src 'WLAN_GUEST'
    option target 'DROP'
    option src_ip '192.168.0.0/24'
    option dest_ip '10.10.10.1'
    option proto 'all'

config rule
    option name 'Disable_any_forward'
    option proto 'all'
    option src 'WLAN_GUEST'
    option target 'DROP'
    list icmp_type 'host-unreachable'

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option disable_ipv6 '1'
    option drop_invalid '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'

config forwarding
    option src 'lan'
    option dest 'wan'

config include
    option path '/etc/firewall.user'

config zone
    option name 'WLAN_GUEST'
    option output 'ACCEPT'
    option forward 'REJECT'
    option input 'ACCEPT'
    option network 'wlan_guest'

config forwarding
    option dest 'wan'
    option src 'WLAN_GUEST'
/etc/config/dhcp

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.auto'

config dhcp 'lan'
    option interface 'lan'
    option start '100'
    option limit '120'
    option leasetime '2h'

config dhcp 'wan'
    option interface 'wan'
    option ignore '1'

config dhcp
    option start '100'
    option limit '150'
    option interface 'wlan_guest'
    option leasetime '2h'
/etc/config/wireless


config wifi-device 'radio0'
    option type 'mac80211'
    option macaddr 'XXX'
    list ht_capab 'SHORT-GI-40'
    list ht_capab 'TX-STBC'
    list ht_capab 'RX-STBC1'
    list ht_capab 'DSSS_CCK-40'
    option hwmode '11g'
    option country 'PL'
    option txpower '5'
    option channel '3'

config wifi-device 'radio1'
    option type 'mac80211'
    option channel '36'
    option macaddr 'XXX'
    option hwmode '11na'
    option htmode 'HT40'
    list ht_capab 'SHORT-GI-40'
    list ht_capab 'TX-STBC'
    list ht_capab 'RX-STBC1'
    list ht_capab 'DSSS_CCK-40'
    option disabled '1'
    option country 'PL'
    option txpower '0'

config wifi-iface
    option device 'radio0'
    option mode 'ap'
    option ssid 'wifi0'
    option encryption 'psk2+ccmp'
    option key 'XXX'
    option network 'wlan_guest'

config wifi-iface
    option device 'radio0'
    option mode 'ap'
    option ssid 'wifi1'
    option network 'lan'
    option macfilter 'allow'
    list maclist 'XXX'
    option encryption 'psk2+ccmp'
    option key 'XXX'
/etc/config/network
config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config interface 'lan'
    option ifname 'eth0'
    option type 'bridge'
    option proto 'static'
    option netmask '255.255.255.128'
    option ipaddr '10.10.10.1'

config interface 'wan'
    option ifname 'eth1'
    option proto 'dhcp'

config switch
    option name 'eth0'
    option reset '1'
    option enable_vlan '0'

config switch_vlan
    option device 'eth0'
    option vlan '1'
    option ports '0 1 2 3 4'

config interface 'wlan_guest'
    option _orig_ifname 'wlan0'
    option _orig_bridge 'false'
    option proto 'static'
    option ipaddr '192.168.0.1'
    option netmask '255.255.255.0'

2 Odpowiedź przez szupek

  • szupek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-02
  • Posty: 264

Odp: Odciecie Guest Wifi

config zone
    option name 'WLAN_GUEST'
    option output 'ACCEPT'
    option forward 'REJECT'
    option input 'ACCEPT'
    option network 'wlan_guest'

zmień option input 'ACCEPT' na option input 'REJECT'

3 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

Niestety ciagle moge sie dostac do routera z sieci guest. Ping 192.168.0.1 jak i ping 10.10.10.1 dzialaja. Mam wrazenie ze jakims dziwnym trafem reguly nie sa brane pod uwage. Korzystam z najnowszego softu Attitude Adjustment 12.09-beta

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,245

Odp: Odciecie Guest Wifi

iptables -I INPUT -d 192.168.0.1 -i wlan0-1 -j DROP czy jaki tam masz ten interfejs dla gościa

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

też nic z tego, a najśmieszniejsze jest to że po restarcie na poczatkowych ustawieniach +zmiana od szupek wszystko dziala jak powinnno czyli dostep do routera jest zablokowany. Jednak wystarczy ze zmienie cokolwiek w firewall config i zrobie /etc/init.d/firewall restart dostep do routera zostaje odblokowany, a po cofnieciu zmian i ponownym restarcie dostep ciagle jest odblokowany.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,245

Odp: Odciecie Guest Wifi

A zmieniasz to w pliku czy nie? Bo przecież restart firewalla daje Ci wczytanie wszystkich reguł które tam są.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

tak zmieniam w pliku /etc/config/firewall. Pozatym dodanie czegos przez iptables powinno dzialac bo jest niezalezne od pliku ale niestety nie dziala.

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,245

Odp: Odciecie Guest Wifi

Dodanie przez iptables działa do momentu restartu firewalla. Bo on czyści wszystkie regułki.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

Wiem o tym, rozpisze sytuacje w punktach aby byla bardziej przejrzysta:
1. Start routera z konfiguracja podana w pierwszym poscie + poprawka od szupek -> wszystko dziala jak powinno (nie ma dostepu do routera z wlan_guest)
2. w pliku /etc/config/firewall:
zmieniam cokolwiek np:
config rule
        option src 'WLAN_GUEST'
        option dest_port '53'
        option proto 'tcpudp'
        option target 'ACCEPT'
        option name 'Allow_dhcp'
#       option log '1'                   -> komentuje opcje logowania
3. restart firewall /etc/init.d/firewall restart -> gdy firewall wystartuje dostep do routera z sieci guest jest odblokowany (wtf!)
4. cofam zmiane w pliku /etc/config/firewall + restart firewalla -> dostep ciagle pozostaje odblokowany(zarowno do 10.10.10.1 jak i 192.168.0.1)
5. w lini komend wpisuje : iptables -I INPUT -d 192.168.0.1 -i wlan_guest -j DROP  -> nic sie nie zmienia router ciagle dostepny.

Wedlug mnie takie zachowanie jest conajmniej dziwne. Co wy o tym sadzicie, jest to jakis bug w sofcie czy cos mam zle poustawiane?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,245

Odp: Odciecie Guest Wifi

Raczej masz coś źle ustawione.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

Cezary a czy moglbys zerknac swym fachowym okiem i powiedziec co moze byc nie tak?

12 Odpowiedź przez szupek

  • szupek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-02
  • Posty: 264

Odp: Odciecie Guest Wifi

Jak nie masz żadnych wymyślnych konfiguracji w tym routerze to zrób firstboot'a i jeszcze raz ustaw dodatkową stręfe w firewallu i network, zrób forwarding z tej strefy i stwórz nowy VAP - może akurat się gdzieś machnąłeś a teraz tego nie widać.

13 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

Nic z tego ciagle to samo probowalem nawet na swiezo zainstalowac soft przez tftp. Nic nie pomaga. Sprawdzilem tez co wypluwa iptables-save przed zmianami i po nich wynik jest dokladnie taki sam- zadnych roznic. Wiec skoro konfiguracja firewalla jest ta sama to dlaczego raz dziala raz nie. Wydaje mi sie ze to jest jakis problem w sofcie. Czy ktos moglby zubdowac takie srodowisko i sprawdzic czy dostanie te same wyniki? moj soft to : Attitude Adjustment 12.09-beta

14 Odpowiedź przez szupek

  • szupek
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-02
  • Posty: 264

Odp: Odciecie Guest Wifi

mam luźną 740 to zrboię cośtakiego jak będę miał chwilkę.

15 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

Na oficjalnym forum openwrt dostalem rozwiazanie problemu.  Trzeba zainstalowac pakiet "contrack-tools" a nastepnie wywolac "conntrack -F". Jeszcze nie wiem dlaczego tak to dziala i co to robi, ale po wywolaniu tej komendy firewall dziala jak powinien. Jesli ktos potrafi wytlumaczyc dlaczego tak bede bardzo wdzieczny

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,245

Odp: Odciecie Guest Wifi

Czy ty to testowałeś mając już połączenie z routerem? Bo to by tłumaczyło na co dostałeś odpowiedź - w conntraku już istniało takie połączenie więc było kontynuowane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez diigii

  • diigii
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-05
  • Posty: 15

Odp: Odciecie Guest Wifi

tak, procedura testowa:
1. z sieci guest uruchomic ping router
2. zmiana w konfigu firewalla
3. restart firewalla

teraz dodalem sobie "conntrack -F" do /etc/init.d/firewall i wszystko dziala zgodnie z moim zalozeniem.