Jump to content

Запрет мостов на клиенте

NewUse
 Share

Recommended Posts

NewUse

NewUse

Posted
Posted (edited)

Я, наверное, торможу но есть ли способы просто игнорить пакеты, пришедшие от неизвестного(не аторизированого) МАКа со стороны АП?

 

Есть ли такой штатный функцилнал у hostapd?

Edited by NewUse
Ainy

Ainy

Posted
Posted

если абонент не подключен, он не может передавать пакеты, логично да?

 

Если вопрос не об этом, то наверное его надо сначала обдумать, а потом правильно задать.

NewUse

NewUse

Posted
  • Author
Posted (edited)

Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа)

соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД?

Edited by NewUse
Saab95

Saab95

Posted
Posted

Это вам надо использовать микротик. Он позволяет создавать таблицу разрешенных MAC'ов для подключения по радио, и имеет в своем распоряжении фильтр на бридже, с помощью которого можно запретить доступ в сеть со всех адресов, кроме разрешенных. Это как раз то, что вам нужно.

NewUse

NewUse

Posted
  • Author
Posted

у меня не микротик :), а фильтрацию на бридже можно и замутить, только надеялся что это можно сделать штатными средстами hostapd, и создавать вручную таблицы МАКов активных стейшенов тоже не хоцца....

Ainy

Ainy

Posted
Posted

Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа)

соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД?

Так у Вас абонентское устройство это бридж или роутер? Или Вы слабо представляете себе разницу?

Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет.

Если оно бридж - тогда оно не может натить, соответственно нат делается где-то уже за AP. В обоих случаях hostapd(и вообще способ доступа) тут вообще нипричем.

Таблицы доступа в hostapd - это таблицы разрешенных либо запрещенных маков wifi stations.

Если клиентское устройство - бридж и надо дропать трафик с отдельных маков, тогда ebtables/arptables, т.е. средствами L2-firewall.

При правильно построенном доступе, клиенты не должны попадать на аксесс по бриджу (кроме вариантов, когда клиенты через бридж запускают туннель pppoe, почему pppoe через радио неправильно уже тоже неоднократно объяснял).

NewUse

NewUse

Posted
  • Author
Posted (edited)
Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет.

Настойка клиентского обрудоания лежит на клиентах, и я за неё не отвечаю, соответственно, народ, не сильно представляя что он делает, настраивает сохо-роутеры на альтернативных прошивках зачастую не ставя галочки НАТа, собственно я тоже не хотел заморачиваться на шлюзе с L2 шейпером, и динамическим созданием правил, в т.ч. сязки радиуса и ipfw, хоть и не сложно, по идеи; и поставил L3 ip-based шейпер, т.к. народ про алисы как правило не догадывается, да и с маршрутизацией тоже не заморачивается, но тут с этими мыльницами облом выходить начал....

по сути просто вешается wlan0 и ethN на один br0....

Edited by NewUse
Ainy

Ainy

Posted
Posted

Если настройки на клиенте - ответственность клиента, то Вам зачем что-то делать по этому поводу?

Вы напишите в условиях Вашей оферты или договора рекомендуемые настройки и все. А на своем роутере drop all martians.

При чем тут вообще какие-то маки? У Вас есть Ваша сеть из которой вы выдаете адреса абонентам на wlan0 - вот трафик с нее Вы и принимаете, а все прочее - drop.

Абонент, который настроит бридж - либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут.

Но в любом случае к мак-acl hostapd это не имеет никакого отношения, то настройки по allow/deny для wireless macs. Т.е. кому из абонентов разрешено регистрироваться на точке, а кому нет.

NewUse

NewUse

Posted
  • Author
Posted
либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут

В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду....

Ainy

Ainy

Posted
Posted
либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут

В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду....

Ну тогда прописывать wireless маки в dhcpd, и тогда, соответственно, адреса получат только на wan0 и через бридж ничего работать не будет у них. Тогда у них не будет другого варианта, кроме как влючить нат у себя.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.