NewUse Опубликовано 8 сентября, 2011 (изменено) · Жалоба Я, наверное, торможу но есть ли способы просто игнорить пакеты, пришедшие от неизвестного(не аторизированого) МАКа со стороны АП? Есть ли такой штатный функцилнал у hostapd? Изменено 9 сентября, 2011 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 9 сентября, 2011 · Жалоба а что говорит man/info/wiki на эту тему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 9 сентября, 2011 · Жалоба я ничего похожего не нашёл, может плохо искал, вот и спрашиваю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 9 сентября, 2011 · Жалоба походу вообще не искал. в сампле конфига hostapd должны быть такие строчки или подобные. в файлах перечни мак-адресов. accept_mac_file=/etc/hostapd/hostapd.accept deny_mac_file=/etc/hostapd/hostapd.deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 10 сентября, 2011 · Жалоба да, это видел, но как я понял, оно работает только на этапе подключеия? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 10 сентября, 2011 · Жалоба если абонент не подключен, он не может передавать пакеты, логично да? Если вопрос не об этом, то наверное его надо сначала обдумать, а потом правильно задать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 10 сентября, 2011 (изменено) · Жалоба Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа) соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД? Изменено 10 сентября, 2011 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 сентября, 2011 · Жалоба Это вам надо использовать микротик. Он позволяет создавать таблицу разрешенных MAC'ов для подключения по радио, и имеет в своем распоряжении фильтр на бридже, с помощью которого можно запретить доступ в сеть со всех адресов, кроме разрешенных. Это как раз то, что вам нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 10 сентября, 2011 · Жалоба у меня не микротик :), а фильтрацию на бридже можно и замутить, только надеялся что это можно сделать штатными средстами hostapd, и создавать вручную таблицы МАКов активных стейшенов тоже не хоцца.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 10 сентября, 2011 · Жалоба Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа) соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД? Так у Вас абонентское устройство это бридж или роутер? Или Вы слабо представляете себе разницу? Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет. Если оно бридж - тогда оно не может натить, соответственно нат делается где-то уже за AP. В обоих случаях hostapd(и вообще способ доступа) тут вообще нипричем. Таблицы доступа в hostapd - это таблицы разрешенных либо запрещенных маков wifi stations. Если клиентское устройство - бридж и надо дропать трафик с отдельных маков, тогда ebtables/arptables, т.е. средствами L2-firewall. При правильно построенном доступе, клиенты не должны попадать на аксесс по бриджу (кроме вариантов, когда клиенты через бридж запускают туннель pppoe, почему pppoe через радио неправильно уже тоже неоднократно объяснял). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 11 сентября, 2011 (изменено) · Жалоба Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет. Настойка клиентского обрудоания лежит на клиентах, и я за неё не отвечаю, соответственно, народ, не сильно представляя что он делает, настраивает сохо-роутеры на альтернативных прошивках зачастую не ставя галочки НАТа, собственно я тоже не хотел заморачиваться на шлюзе с L2 шейпером, и динамическим созданием правил, в т.ч. сязки радиуса и ipfw, хоть и не сложно, по идеи; и поставил L3 ip-based шейпер, т.к. народ про алисы как правило не догадывается, да и с маршрутизацией тоже не заморачивается, но тут с этими мыльницами облом выходить начал.... по сути просто вешается wlan0 и ethN на один br0.... Изменено 11 сентября, 2011 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 11 сентября, 2011 · Жалоба Если настройки на клиенте - ответственность клиента, то Вам зачем что-то делать по этому поводу? Вы напишите в условиях Вашей оферты или договора рекомендуемые настройки и все. А на своем роутере drop all martians. При чем тут вообще какие-то маки? У Вас есть Ваша сеть из которой вы выдаете адреса абонентам на wlan0 - вот трафик с нее Вы и принимаете, а все прочее - drop. Абонент, который настроит бридж - либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут. Но в любом случае к мак-acl hostapd это не имеет никакого отношения, то настройки по allow/deny для wireless macs. Т.е. кому из абонентов разрешено регистрироваться на точке, а кому нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 11 сентября, 2011 · Жалоба либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 11 сентября, 2011 · Жалоба либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду.... Ну тогда прописывать wireless маки в dhcpd, и тогда, соответственно, адреса получат только на wan0 и через бридж ничего работать не будет у них. Тогда у них не будет другого варианта, кроме как влючить нат у себя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 12 сентября, 2011 · Жалоба Тогда у них не будет другого варианта, кроме как влючить нат у себя. или прописать статику :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 12 сентября, 2011 · Жалоба В чем проблема внести маки статикой или поставить что-то типа ipsentinel? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...