• Zarejestrowany: 2012-05-27
  • Posty: 180

Temat: 2x WiFi - 1x router prośba

Witam

Przed Garygoyle'm stoi router główny który nadaje DHCP w podsieci 192.168.0.1.

Chciałym na Garym zrobić 2x sieć Wifi (routery spięte przewodem np. lan-wan)

1-wsza  "sieć gościnna" która nie dopuści usera do zasobów sieci (udziały, drukarki itp.).Ma za zadanie udostępniać neta oraz musi być montorowana przez usługę w garym "monitor sieci" (www, google). Fajnie bybyło jakby użytkownik po podłączeniu do sieci dostał info o tym że sieć jest monitorowana.

2-ga sieć firmowa czyli do dostęp udziałów, drukarek także w podsieci 192.168.0.1. Bez monitorowania.

Prośba o pomoc w cfg.

Dzięki!!!

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Robisz tak jak podałem w poradnikach. A później wycinasz na firewalu wszytko co pochodzi z sieci gościnnej do lokalnej

iptables -I FORWARD -p tcp -i wlan1 -d 192.168.0.0/24 -j REJECT

Czy coś podobnego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

Czyli Panie Cezary ...
1. Konfiguruje z gui sieć wifi nazwijmy to "firma" jako AP.
2. http://openrouter.info/forum/viewtopic. … &t=967

prośba o linki jeśli nie sprawi to problemu także o info na www o podłączeniu do sieci.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Tak, rozdzielasz to na inną sieć. A regułkę dopisujesz jako pierwszą w pliku /etc/firewall.user i tyle.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez prorock (edytowany przez prorock 2013-04-16 20:36:30)

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

Dzieki Cezary.

Monitor sieci - zastosowałem zakres ip z gui z klasy Wifi sieć gościnna.

Jednak prosze o odpowiedź na jeszcze jedno pewnie z wielu pytań.

Przed Garym który emituje "wifi guest" jest jeszcze router (dla Garego to już wan). Wobec tego widzi udziały sieciowe na Wan'ie. Wobec tego wpis:

uci add firewall forwarding
uci set firewall.@forwarding[-1].src=guest
uci set firewall.@forwarding[-1].dest=wan

... dopuszcza go do udziałów na WAN'ie.

Podsieć na Routerze przed Garym to 192.168.3.0
Podsieć na routerze z Garym 192.168.1.0
Podsieć Wifi guest taka jak w poradniku 10.1.1.0 

Jak moge zabronić chociaż dostęp do udziałów sieciowych na moim WAN. Reguła iptables zapewne. Tylko jeszcze nie zabardzo rouzmiem jaki wpis.

Czy wobec tego Twój post odnośnie:

"iptables -I FORWARD -p tcp -i wlan1 -d 192.168.0.0/24 -j REJECT"

"A później wycinasz na firewalu wszytko co pochodzi z sieci gościnnej do lokalnej"

.... nie powinien wygladać inaczej tzn. np. wycinać ruchu otocznia sieciowego z WAN'a

Lokalne udziały na 192.168.1.0 nie sa widoczne poprzez siec gościnna (działa to bez wpisu iptables w firewall.user).

Pozdrawiam

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Wycinaj co chcesz i jak potrzebujesz przecież.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

Myślałem że można np. zablkować porty dla otoczenia seciowego dla podsieci 192.168.3.0. hmm

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Możesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

dobra bede grzebał na eko.one

10 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

blokowałem porty 137 -139 445. dalej mam dostęp do danych z Wan.  Prośba o regułkę hmm

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Pokaż jak blokowałeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez prorock (edytowany przez prorock 2013-04-17 10:57:05)

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

1 próba.

config 'rule'
        option src 'guest'
        option proto 'udp'
        option dest_port '137-138'
        option target 'DROP'

config 'rule'
        option src 'guest'
        option proto 'tcp'
        option dest_port '139'
        option target 'DROP'

config 'rule'
        option src 'guest'
        option proto 'tcp'
        option dest_port '445'
        option target 'DROP'

/etc/init.d/firewall restart


src zmieniałem na 'wan' moja logka mówi mi źródlem jest WAN -też nie działa (jako poprawiony wpis

przykład:

2.próba

config 'rule'
        option src 'wan'
        option proto 'udp'
        option dest_port '137-138'
        option target 'DROP'

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Ale sugeruję żebyś nie robił tego przez uci tylko zwykłymi regułami iptables.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

dzięki najpierw spróbuje sam poczytać o iptables zanim poproszę o gotowe rozwiązanie. rozumiem że stosowny wpis mam zastosować do /etc/firewall.user

coś w stylu:

iptables -A FORWARD -d 192.168.3.0/24 -j DROP

pewnie ten wpis zablokuje mi cały ruch z 192.168.3.0 bo przekopiowałem taki który udostepnia mi ruch z innej podsieci
iptables -A FORWARD -d 10.10.1.240 -j ACCEPT

musi to pewnie wyglądać coś w stylu:

iptables -I FORWARD -p tcpudp -i wan -d 192.168.3.0/24 --dport 137-139 -j DROP

oraz

iptables -I FORWARD -p tcpudp -i wan -d 192.168.3.0/24 --dport 445 -j DROP

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

iptables -I FORWARD -p tcp -i ethX -d 192.168.3.0/24 --dport 137 -j DROP
iptables -I FORWARD -p tcp -i ethX -d 192.168.3.0/24 --dport 138 -j DROP
iptables -I FORWARD -p tcp -i ethX -d 192.168.3.0/24 --dport 139 -j DROP

Jak chcesz używać zakresu portów to musisz -m multiport dodać. Oddzielne reguły dla TCP i UDP. Nie ma interfejsu "wan". To nazwa logiczna stosowana przez openwrt. ifconfig sobie zrób zobaczysz jak nazywają się interfejsy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

senkju wery much

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Nie nie, to jeszcze nie gotowiec smile

Możesz zrobić sobie iptables -I FORWARD -j LOG będzie logował wszystko w systemu. Wtedy puszczasz ruch jaki chcesz i widzisz skąd co i dokąd to idzie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

...wynik mojej nauki
root@Gargoyle:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr F8:D1:11:2F:36:6C
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3183 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3319 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:310750 (303.4 KiB)  TX bytes:484651 (473.2 KiB)

eth0      Link encap:Ethernet  HWaddr F8:D1:11:2F:36:6C
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4929 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4918 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:572121 (558.7 KiB)  TX bytes:680213 (664.2 KiB)
          Interrupt:4

eth0.1    Link encap:Ethernet  HWaddr F8:D1:11:2F:36:6C
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3183 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3350 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:310750 (303.4 KiB)  TX bytes:486077 (474.6 KiB)

eth0.2    Link encap:Ethernet  HWaddr F8:D1:11:2F:36:6C
          inet addr:192.168.0.101  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1746 errors:0 dropped:1 overruns:0 frame:0
          TX packets:1567 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:172649 (168.6 KiB)  TX bytes:173425 (169.3 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:29881 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29881 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1797868 (1.7 MiB)  TX bytes:1797868 (1.7 MiB)

wlan0     Link encap:Ethernet  HWaddr F8:D1:11:2F:36:6C
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:341 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:0 (0.0 B)  TX bytes:41869 (40.8 KiB)

wlan0-1   Link encap:Ethernet  HWaddr FA:D1:11:2F:36:6D
          inet addr:10.1.1.1  Bcast:10.1.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:0 (0.0 B)  TX bytes:420 (420.0 B)

jak widać moja sieć gościnna to: wlan0-1


lista usług otoczenia sieciowego:
/etc/services
microsoft-ds    445/tcp
microsoft-ds    445/udp
netbios-ns    137/tcp
netbios-ns    137/udp
netbios-dgm    138/tcp
netbios-dgm    138/udp
netbios-ssn    139/tcp
netbios-ssn    139/udp

dodajemy reguły w pliku: /etc/firewall.user

iptables -I FORWARD -p tcp -i wlan0-1 -d 192.168.3.0/24 --dport 137 -j DROP
iptables -I FORWARD -p tcp -i wlan0-1 -d 192.168.3.0/24 --dport 138 -j DROP
iptables -I FORWARD -p tcp -i wlan0-1 -d 192.168.3.0/24 --dport 139 -j DROP
iptables -I FORWARD -p udp -i wlan0-1 -d 192.168.3.0/24 --dport 137 -j DROP
iptables -I FORWARD -p udp -i wlan0-1 -d 192.168.3.0/24 --dport 138 -j DROP
iptables -I FORWARD -p udp -i wlan0-1 -d 192.168.3.0/24 --dport 139 -j DROP
iptables -I FORWARD -p tcp -i wlan0-1 -d 192.168.3.0/24 --dport 445 -j DROP
iptables -I FORWARD -p udp -i wlan0-1 -d 192.168.3.0/24 --dport 445 -j DROP

WANŻE: /etc/init.d/firewall restart nie uruchamia regułek musimy wykonać restart garego. Teraz Użytkownicy podłączeni do sieci gościnnej nie mają dostępu do zasobów sieciowych także przed routerem.

Dzięki Cezary. Podroczyłeś się ze mną ale wiem że chciałeś mnie poprostu czegos nauczyć.

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Bo co by Ci przyszło z tego jak byś gotowca dostał...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

wieczór i popołudnie wolne tongue wink

21 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

kolejnie pytanie:

Tym razem gary jest skonfigurowany jako most przewodowy czyli:

-przewód z sygnałem internetowym podpięty pod lan
-podsieć ustawiona w takiej samej klasie jak przed garym 192.168.0.1
-wifi firmowe ustawione ( taka sama podsieć rzecz jasna jak lan czyli 192.168.0.1)
-dhcp wyłączone - ip przydziela router przed garym
-stworzono kolejną sieć wifi "siec_goscina" na podsieci 10.1.1.0

/etc/firewall


config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'wan'
    option network 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fe80::/10'
    option src_port '547'
    option dest_ip 'fe80::/10'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config include
    option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'

config include 'openvpn_include_file'
    option path '/etc/openvpn.firewall'

config zone                                      (akceptuj we, wy,przekierowania) tu nie
    option name 'guest'
    option network 'guest'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'

config forwarding                      (przekierowanie portów zapewne - ale to chyba robi router przed garym, próbowłem z lan)
    option src 'guest'
    option dest 'wan'

config rule                                   
    option src 'guest'
    option proto 'udp'
    option src_port '67-68'
    option dest_port '67-68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option src 'guest'
    option dest_port '53'
    option target 'ACCEPT'
    option family 'ipv4'
    option proto 'tcpudp'

I znowu to samo pytanie jaki wpis powinien dodać aby ruch internetowy odbywał się na guest ?

22 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Podobnie, tylko teraz nie występuje wan a masz tylko lan do dyspozycji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

23 Odpowiedź przez prorock (edytowany przez prorock 2013-04-17 18:41:13)

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

gary lan kabel - net ok
wifi "firma" ustawiona z gui - net ok
wifi "siec goscinna" - net brak

chodzi mi o to że na alasie "guest" nie ma net'a.

pomyślałem że może:

config forwarding                     
    option src 'guest'
    option dest 'wan' -> zmiana na 'lan'

/etc/firewall

config zone
    option name 'guest'
    option network 'guest'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'

config forwarding
    option src 'guest'
    option dest 'lan'  <------- zmieniłem z wan na lan

config rule
    option src 'guest'
    option proto 'udp'
    option src_port '67-68'
    option dest_port '67-68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option src 'guest'
    option dest_port '53'
    option target 'ACCEPT'
    option family 'ipv4'
    option proto 'tcpudp'

domyślam się że nie chodzi o iptables jeśli się mylę ..... proszę o info

logów iptables nie podejrze ponieważ routuje 2gi router na którym nie mam takich informacji

24 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: 2x WiFi - 1x router prośba

Bo masz inną adresacją. Spróbuj na lan ustawić masq 1

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

25 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: 2x WiFi - 1x router prośba

wynik= fail

...
config zone
    option name 'guest'
    option network 'guest'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
   
config forwarding
    option src 'guest'
    option dest 'lan'

config rule
    option src 'guest'
    option proto 'udp'
    option src_port '67-68'
    option dest_port '67-68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option src 'guest'
    option dest_port '53'
    option target 'ACCEPT'
    option family 'ipv4'
    option proto 'tcpudp'

próbowalem pozukać na forum ale widze nieokończone posty hmm
http://eko.one.pl/forum/viewtopic.php?id=5872