|
Tomato - dwa DHCP
|
| franek84 |
Dodano 04-11-2013 12:10
|
User
Posty: 32
Dołączył: 01/07/2009 17:29
|
Witam,
Koledzy mam pewien problem którego niestety nie potrafię rozwiązać.
W skrócie sieć wygląda tak:
internet WNR3500(tomato/DHCP) WRT54GL (tomato) klientAP router z drugim DHCP internet
Oba serwery DHCP działają na innych adresacjach.
Pytanie: jak na WRT54GL zablokować DHCP z jednej i drugiej sieci? Bywa tak że klient który łączy się z WNR3500 otrzymuje adres IP z tego drugiego DHCP a nie z WNR3500.
Podpowiedzcie mi coś proszę poza ustawianiem statycznych adresów w jednej z sieci. |
| |
|
|
| dodo |
Dodano 04-11-2013 12:51
|
User
Posty: 5
Dołączył: 10/10/2013 10:49
|
Najprostszy sposób to zablokowanie portów 68 i 67 :) poprzez iptables w skrypcie startowym tomato (administration->scripts[Firewall]).
np.
iptables -A nazwa_łańcucha -p udp --dport 67 -j REJECT
iptables -A nazwa_łańcucha -p udp --dport 68 -j REJECT
lub jeżeli chcesz zablokować zapytania od określonego komputera to można po macu
iptables -A nazwa_łańcucha -m mac --mac-source FF:FF:FF:FF:FF:FF -p udp --dport 67 -j REJECT
iptables -A nazwa_łańcucha -m mac --mac-source FF:FF:FF:FF:FF:FF -p udp --dport 68 -j REJECT
Edytowany przez dodo dnia 04-11-2013 13:00
|
| |
|
|
| Sigma |
Dodano 04-11-2013 18:27
|
Power User
Posty: 382
Dołączył: 01/09/2011 08:32
|
hmm, czyli jak? za iptables -A przychodzi przecież OUTPUT/INPUT...
Z tego co zrozumiałem, kolega chce osiągnąć taki efekt:
Klient łączący się przez WRT54GL może otrzymać adres od DHCP na WRT54GL
Klient łączący się przez WNR3500 może otrzymać adres od DHCP na WNR3500
Klient łączący się przez WRT54GL nie może otrzymać adresu od DHCP na WNR3500
Klient łączący się przez WNR3500 nie może otrzymać adresu od DHCP na WRT54GL
Za bardzo na iptables się nie znam, ale wydaje się, że na logikę całość powinny załatwić reguły:
Na WRT54GL:
iptables -A INPUT -m mac --mac-source [ADRES MAC WNR3500] -p udp --dport 67 -j REJECT
Na WNR3500:
iptables -A INPUT -m mac --mac-source [ADRES MAC WRT54GL] -p udp --dport 67 -j REJECT
Może ktoś kto się zna zweryfikować? Bo tak na logikę, regułka od kolegi zablokuje całe DHCP...
[small]Netgear WNR3500L powered by Tomato Firmware 1.28.0000 MIPSR2-130 K26 USB BTGui
Netgear WNDR4300 powered by OpenWrt Chaos Calmer 15.05 (r47662)
TP-Link TL-WDR4300 v1 powered by OpenWrt Chaos Calmer 15.05 (r47662)
[b]TP-Link T
|
| |
|
|
| franek84 |
Dodano 04-11-2013 19:32
|
User
Posty: 32
Dołączył: 01/07/2009 17:29
|
Dzięki za odpowiedzi.
WRT54 w ogóle mnie nie interesuje. Służy tylko i wyłącznie jako AP do połączenia WiFi (nie wykorzystuje w nim portu WAN) Na WRT54 jest stały IP i łączy się z nim tylko jeden klient AP. Za klientem jest kolejny router z DHCP. Chcę aby każda sieć korzystała z własnego łącza internetowego.
Czyli jeśli dodam w WRT54 regułę
iptables -A INPUT -p udp --dport 67 -j REJECT
iptables -A INPUT -p udp --dport 68 -j REJECT
DHCP nie będą się mieszać?
Nie pamiętam czy to ma być REJECT czy DROP.
Wielkie Dzięki za podpowiedzi. Przynajmniej wiem które porty mam blokować.
Mam nadzieję że nic nie namieszałem 
Robione na szybko.
Często jest tak że "Komp 1", "Komp 2" dostają IP z puli "Komp A", "Komp B"...
Chciałbym zablokować ruch DHCP na poziomie WRT54 |
| |
|
|
| dodo |
Dodano 04-11-2013 20:33
|
User
Posty: 5
Dołączył: 10/10/2013 10:49
|
@sigma
Napisałem przecież że 'nazwa_lancucha' która trzeba samemu podać , bo zależy co chcemy osiągnąć i w którym miejscu.
@franek84
Jeżeli chcesz blokować wszystkie zapytania dhcp na routerze WRT54GL po stronie lan to regułka by wyglądała tak:
iptables -A INPUT -p udp --dport 67 -j REJECT
iptables -A INPUT -p udp --dport 68 -j REJECT
ale jeżeli chcesz żeby tylko niektóre komputery miały zablokowane dhcp po stronie lan dla WRT54GL to regułka wygląda tak:
iptables -A INPUT -m mac --mac-source [ADRES MAC KARTY SIECIOWEJ KOMPUTERA] -p udp --dport 67 -j REJECT
iptables -A INPUT -m mac --mac-source [ADRES MAC KARTY SIECIOWEJ KOMPUTERA] -p udp --dport 68 -j REJECT
REJECT lub DROP to tylko kwestia obsługi odrzucanego pakietu. |
| |
|
|
| hermes-80 |
Dodano 04-11-2013 21:12
|
VIP
Posty: 3682
Dołączył: 21/04/2009 11:24
|
Pod warunkiem, że WRT jest skonfigurowany jako Router a nie jako AP, a w tym wypadku chyba jest jako AP.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| dodo |
Dodano 05-11-2013 08:12
|
User
Posty: 5
Dołączył: 10/10/2013 10:49
|
Cytat hermes-80 napisał(a):
Pod warunkiem, że WRT jest skonfigurowany jako Router a nie jako AP, a w tym wypadku chyba jest jako AP.
A gdzie jest napisane, że jest spięty jako AP? Przeczytaj sobie dobrze tekst kolegi. Pierwsza siec nazwijmy ja A w której jest WNR jest spięty z WRT po kabelku porty lan-lan (port wan WRT jest nie wykorzystany), a z WRT po wifi łaczy się z sieci B klient AP. Skrypt ma zadanie nie rozdawać po dhcp konfiguracji dla komputerów z sieci B, dla pewności można dopisać następne 2 linijki kodu i sprawić że również router z sieci B nie będzie rozdawał po dhcp konfiguracji dla komputerów z sieci A. Warto wpisy porobić w punkcie gdzie jest WRT żeby z obu sieci zapytania nie przenikały z sieci A do B i vice versa. Czyli coś takiego:
Blokowanie wszystkie zapytania dhcp na routerze WRT54GL po stronie przychodzących i wychodzących zapytań na interfejsie lan
iptables -A INPUT -p udp --dport 67 -j REJECT
iptables -A INPUT -p udp --dport 68 -j REJECT
iptables -A OUTPUT -p udp --dport 67 -j REJECT
iptables -A OUTPUT -p udp --dport 68 -j REJECT
Blokowanie zapytania dhcp na routerze WRT54GL po stronie przychodzących i wychodzących zapytań na interfejsie lan dla określonych komputerów
iptables -A INPUT -m mac --mac-source [ADRES MAC KARTY SIECIOWEJ KOMPUTERA] -p udp --dport 67 -j REJECT
iptables -A INPUT -m mac --mac-source [ADRES MAC KARTY SIECIOWEJ KOMPUTERA] -p udp --dport 68 -j REJECT
iptables -A OUTPUT -m mac --mac-source [ADRES MAC KARTY SIECIOWEJ KOMPUTERA] -p udp --dport 67 -j REJECT
iptables -A OUTPUT -m mac --mac-source [ADRES MAC KARTY SIECIOWEJ KOMPUTERA] -p udp --dport 68 -j REJECT
Mylić się jest rzeczą ludzką  więc nie bić. |
| |
|
|
| franek84 |
Dodano 05-11-2013 10:21
|
User
Posty: 32
Dołączył: 01/07/2009 17:29
|
Super, bardzo dziękuję wszystkim za pomoc i za gotowca
Do końca tygodnia sprawdzę czy to rozwiązanie zadziała. |
| |
|
|
| hermes-80 |
Dodano 05-11-2013 10:33
|
VIP
Posty: 3682
Dołączył: 21/04/2009 11:24
|
Cytat a w tym wypadku chyba jest jako AP.
Cytat Pierwsza siec nazwijmy ja A w której jest WNR jest spięty z WRT po kabelku porty lan-lan (port wan WRT jest nie wykorzystany), a z WRT po wifi łaczy się z sieci B klient AP.
Sam to napisałeś - LAN + WIFI jest spięte bridgem czyli wszystko działa jak by było wpięte do switcha, a firewall chyba filtruje tylko ruch miedzy interfejsami LAN - WAN (tak mi się wydaje).
Zbadasz epirycznie to się przekonamy.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
' target='_blank'>Link
