Jump to content
Калькуляторы

Запрет мостов на клиенте Linux-based AP

Я, наверное, торможу но есть ли способы просто игнорить пакеты, пришедшие от неизвестного(не аторизированого) МАКа со стороны АП?

 

Есть ли такой штатный функцилнал у hostapd?

Edited by NewUse

Share this post


Link to post
Share on other sites

я ничего похожего не нашёл, может плохо искал, вот и спрашиваю...

Share this post


Link to post
Share on other sites

походу вообще не искал.

в сампле конфига hostapd должны быть такие строчки или подобные. в файлах перечни мак-адресов.

accept_mac_file=/etc/hostapd/hostapd.accept

deny_mac_file=/etc/hostapd/hostapd.deny

Share this post


Link to post
Share on other sites

да, это видел, но как я понял, оно работает только на этапе подключеия?

Share this post


Link to post
Share on other sites

если абонент не подключен, он не может передавать пакеты, логично да?

 

Если вопрос не об этом, то наверное его надо сначала обдумать, а потом правильно задать.

Share this post


Link to post
Share on other sites

Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа)

соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД?

Edited by NewUse

Share this post


Link to post
Share on other sites

Это вам надо использовать микротик. Он позволяет создавать таблицу разрешенных MAC'ов для подключения по радио, и имеет в своем распоряжении фильтр на бридже, с помощью которого можно запретить доступ в сеть со всех адресов, кроме разрешенных. Это как раз то, что вам нужно.

Share this post


Link to post
Share on other sites

у меня не микротик :), а фильтрацию на бридже можно и замутить, только надеялся что это можно сделать штатными средстами hostapd, и создавать вручную таблицы МАКов активных стейшенов тоже не хоцца....

Share this post


Link to post
Share on other sites

Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа)

соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД?

Так у Вас абонентское устройство это бридж или роутер? Или Вы слабо представляете себе разницу?

Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет.

Если оно бридж - тогда оно не может натить, соответственно нат делается где-то уже за AP. В обоих случаях hostapd(и вообще способ доступа) тут вообще нипричем.

Таблицы доступа в hostapd - это таблицы разрешенных либо запрещенных маков wifi stations.

Если клиентское устройство - бридж и надо дропать трафик с отдельных маков, тогда ebtables/arptables, т.е. средствами L2-firewall.

При правильно построенном доступе, клиенты не должны попадать на аксесс по бриджу (кроме вариантов, когда клиенты через бридж запускают туннель pppoe, почему pppoe через радио неправильно уже тоже неоднократно объяснял).

Share this post


Link to post
Share on other sites
Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет.

Настойка клиентского обрудоания лежит на клиентах, и я за неё не отвечаю, соответственно, народ, не сильно представляя что он делает, настраивает сохо-роутеры на альтернативных прошивках зачастую не ставя галочки НАТа, собственно я тоже не хотел заморачиваться на шлюзе с L2 шейпером, и динамическим созданием правил, в т.ч. сязки радиуса и ipfw, хоть и не сложно, по идеи; и поставил L3 ip-based шейпер, т.к. народ про алисы как правило не догадывается, да и с маршрутизацией тоже не заморачивается, но тут с этими мыльницами облом выходить начал....

по сути просто вешается wlan0 и ethN на один br0....

Edited by NewUse

Share this post


Link to post
Share on other sites

Если настройки на клиенте - ответственность клиента, то Вам зачем что-то делать по этому поводу?

Вы напишите в условиях Вашей оферты или договора рекомендуемые настройки и все. А на своем роутере drop all martians.

При чем тут вообще какие-то маки? У Вас есть Ваша сеть из которой вы выдаете адреса абонентам на wlan0 - вот трафик с нее Вы и принимаете, а все прочее - drop.

Абонент, который настроит бридж - либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут.

Но в любом случае к мак-acl hostapd это не имеет никакого отношения, то настройки по allow/deny для wireless macs. Т.е. кому из абонентов разрешено регистрироваться на точке, а кому нет.

Share this post


Link to post
Share on other sites
либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут

В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду....

Share this post


Link to post
Share on other sites
либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут

В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду....

Ну тогда прописывать wireless маки в dhcpd, и тогда, соответственно, адреса получат только на wan0 и через бридж ничего работать не будет у них. Тогда у них не будет другого варианта, кроме как влючить нат у себя.

Share this post


Link to post
Share on other sites
Тогда у них не будет другого варианта, кроме как влючить нат у себя.

или прописать статику :(

Share this post


Link to post
Share on other sites

В чем проблема внести маки статикой или поставить что-то типа ipsentinel?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this