Перейти к содержимому
Калькуляторы

Запрет мостов на клиенте Linux-based AP

Я, наверное, торможу но есть ли способы просто игнорить пакеты, пришедшие от неизвестного(не аторизированого) МАКа со стороны АП?

 

Есть ли такой штатный функцилнал у hostapd?

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я ничего похожего не нашёл, может плохо искал, вот и спрашиваю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

походу вообще не искал.

в сампле конфига hostapd должны быть такие строчки или подобные. в файлах перечни мак-адресов.

accept_mac_file=/etc/hostapd/hostapd.accept

deny_mac_file=/etc/hostapd/hostapd.deny

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, это видел, но как я понял, оно работает только на этапе подключеия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если абонент не подключен, он не может передавать пакеты, логично да?

 

Если вопрос не об этом, то наверное его надо сначала обдумать, а потом правильно задать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа)

соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД?

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это вам надо использовать микротик. Он позволяет создавать таблицу разрешенных MAC'ов для подключения по радио, и имеет в своем распоряжении фильтр на бридже, с помощью которого можно запретить доступ в сеть со всех адресов, кроме разрешенных. Это как раз то, что вам нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня не микротик :), а фильтрацию на бридже можно и замутить, только надеялся что это можно сделать штатными средстами hostapd, и создавать вручную таблицы МАКов активных стейшенов тоже не хоцца....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент подключается, допустим, с роутера, настроенного в качестве свитча-клиента, wlan0 сидит в бридже с eth0 (без НАТа)

соответственно, подключается он успешно с МАКом wlan0 а по eth0 подключает NNN устройств, как запретить этим самым NNN ходить через wlan0 без NATа, на уровне ТД?

Так у Вас абонентское устройство это бридж или роутер? Или Вы слабо представляете себе разницу?

Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет.

Если оно бридж - тогда оно не может натить, соответственно нат делается где-то уже за AP. В обоих случаях hostapd(и вообще способ доступа) тут вообще нипричем.

Таблицы доступа в hostapd - это таблицы разрешенных либо запрещенных маков wifi stations.

Если клиентское устройство - бридж и надо дропать трафик с отдельных маков, тогда ebtables/arptables, т.е. средствами L2-firewall.

При правильно построенном доступе, клиенты не должны попадать на аксесс по бриджу (кроме вариантов, когда клиенты через бридж запускают туннель pppoe, почему pppoe через радио неправильно уже тоже неоднократно объяснял).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если оно роутер, то оно никак не может иметь бридж между wlan0 и eth0..ethN, соответственно данной проблемы нет.

Настойка клиентского обрудоания лежит на клиентах, и я за неё не отвечаю, соответственно, народ, не сильно представляя что он делает, настраивает сохо-роутеры на альтернативных прошивках зачастую не ставя галочки НАТа, собственно я тоже не хотел заморачиваться на шлюзе с L2 шейпером, и динамическим созданием правил, в т.ч. сязки радиуса и ipfw, хоть и не сложно, по идеи; и поставил L3 ip-based шейпер, т.к. народ про алисы как правило не догадывается, да и с маршрутизацией тоже не заморачивается, но тут с этими мыльницами облом выходить начал....

по сути просто вешается wlan0 и ethN на один br0....

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если настройки на клиенте - ответственность клиента, то Вам зачем что-то делать по этому поводу?

Вы напишите в условиях Вашей оферты или договора рекомендуемые настройки и все. А на своем роутере drop all martians.

При чем тут вообще какие-то маки? У Вас есть Ваша сеть из которой вы выдаете адреса абонентам на wlan0 - вот трафик с нее Вы и принимаете, а все прочее - drop.

Абонент, который настроит бридж - либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут.

Но в любом случае к мак-acl hostapd это не имеет никакого отношения, то настройки по allow/deny для wireless macs. Т.е. кому из абонентов разрешено регистрироваться на точке, а кому нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут

В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

либо его абоненты индивидуально все получат по адресу, если Вашему DHCPD пофиг, либо если маки радио устройств в DHCPD прописаны - ничего не получат и соответственно ничего слать не смогут

В том то и трабла, что все абонентские устройства получают ип-ы, а шейпинг идёт именно по ип, по этому получается, если абонент с таким устройством оплатил 1Мбит/с, а у него, например, 3-устройста, то он получит 3Мбита в секунду....

Ну тогда прописывать wireless маки в dhcpd, и тогда, соответственно, адреса получат только на wan0 и через бридж ничего работать не будет у них. Тогда у них не будет другого варианта, кроме как влючить нат у себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда у них не будет другого варианта, кроме как влючить нат у себя.

или прописать статику :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чем проблема внести маки статикой или поставить что-то типа ipsentinel?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.