Jest opcja Permit only, dla łączących się wireless. Czy jest też dla tych na kablu? W jaki sposób mogę sprawić, żeby tylko wskazane MAC na kablu miały dostęp do netu, a cała reszta która wpina się na bezczelnego była odcięta?
Probowałem access restriction - blokada wszystkich, ale nie wykombinowałem jak na tą blokadę wszystkich, nałożyć regułę "ważniejszą" mówiącą tego i tego przepuszczaj.
Druga sprawa: zarówno na WRT jak i na Tomato, router za diabła nie chce przyjąć (albo nie chcą mu dać) adresu z DHCP ISP (kablówka). Oczywiście ustawiłem odpowiedni MAC po stronie WAN, i jak ustawię na static, to mnie ISP przepuszcza. Mógłbym tak zostawić ale ISP od czasu do czasu lubi IP zmienić i mocno się wkurza, gdy ktoś ma ustawione stałe. W logu znajduję:
prosta sprawa. Reguly licze od gory czyli w kolejnosci dodawania. Im regula w liscie wyzej tym wazniejsza, czyli regula blokujaca wszystko dajesz ZAWSZ na sam dol.
1. regula przepuszczajaca MACi lub IPki (lepiej MAC), ktore maja miec mozliwosc dostepu do neta (nie zapomnij dodac siebie ). Mam nadzieje, ze wiesz jak ja dodac
2. regula blokujaca wszystko i zawsze.
Problem drugi - niemozliwe, zeby nie dzialalo dynamiczne. BTW z adresu, ktory podajesz widze ze uzywasz ICP jako ISP. Ja jestem rowniez u nich i bez problemow dziala dynamiczne przyznawanie adesu.
A sprawa jest taka, ze tak na prawde dopoki nie zmienisz adresu MAC karty zarejestrowanej w systemie twoj adres IP sie nie zmieni (czyli niejako jest statyczny )
"prosta sprawa" ale, jak dodać regułę przepuszczającą? Jeśli zostawię pusty "block all internet access", a nie dodam żadnego parametru, to reguła zapisuje sie z zaznaczonym "block all internet access". Wymyśliłem że jeśli dodam paramter np. DST PORT UDP 65000 jako jedyną rzecz jaką reguła ma blokować, to praktycznie jest to reguła przepuszczająca, ale to błędne rozumowanie, bo w iptables i tak pojawia się w łańcuchu drop, a nie accept.
Po drugie, reguły na liście są sortowane alfabetycznie wedlug pola Description. Oczywiście probowałem dodawać w kolejności którą proponowałeś, jak również odwrotnie, i ustawiając odpowiednie nazwy reguł tak aby blokująca była na dole (lub odwrotnie) - niestety bez sukcesu: zawsze blokująca była ważniejsza, choć może to wynikać z nieumiejętnego zdefiniowania reguły przepuszczającej (patrz poprzedni akapit)
"Problem drugi - niemozliwe, zeby nie dzialalo dynamiczne" - no niemożliwe, a jednak, wyciąg z logów załączyłem. Sprawdzałem również MAC routera, poprzez sprawdzenie arp w kompie siedzącym w lan, i sie zgadza. Może zrestartuje modem kablowy, może tu leży problem.
Co do zmian IP w ICP, to SĄ zmieniane nawet bez zmiany MAC, tyle że z tego co obserwuję w logu dyndns, nieczęściej niż raz na 3 miesiące.
Jesli chodzi o blokowanie to ponownie prosta sprawa:
1. nadajesz uzyszkodnikowm stale IP w sieci
2. tworzysz 1 regule blokujaca dostep do neta wszystkim adresom IP poza uzywanym w stalych dzierzawach (blokowane kompy podajesz jako zakres np. 192.168.1.2-192.168.1.9 i 192.168.1.15-192.168.1.253) czyli kompy 0d 10 do 15 beda mialy tylko dostep.. I bedzie spokoj.
Jesli chodzi o typ polaczenia to na prwde nei wiem. ICP to dosc dobry provider i dbaja zeby wszystko bylo SI.
A zmiany adresu IP hmm widocznie cos grzebales z adresami MAC. Jestem u nich ponad 2,5 roku i adres IP zmienil mi sie raz jak zmienialem MAC zarejestrowanej karty. Kiedys, dawniej zmieniali czesto IP ale juz odeszli od tej praktyki.
Heh, no zgodzę, się że na IP to prosta sprawa, ale muszę zblokować po MACu - a to już nie tak łatwo wyznaczyć zakres. Pytanie jak wbić regułę przepuszczającą pozostaje otwarte i być może trzeba by je dodać do wishlist tomato. No chyba, że znajdzie się tu jakiś gieroj co ma solution (ale solution przez www tomato, a nie shella!)
IPTABLES pozwala na używanie negacji typu "blokuj z wyjątkiem" lub "przepuszczaj z wyjątkiem" i robi się to poprzez dodanie wykrzyknika przed IP czy MACem, niestety taka konstrukcja nie przechodzi przez tomato.
Napisałem maila w tej sprawie do polarcloud. Dam znać jeśli przyjdzie jakaś odpowiedź.
I jeszcze takie pytanie do Robsonn dotyczące odpowiedzi której udzieliłeś na moje pytanie, czyli drugi post w tym wątku: czy przed wysłaniem tej odpowiedzi, sprawdziłeś czy to tak działa?
Edytowany przez qbota dnia 10-09-2006 17:20
Nie wiem czemu robisz z igieł widły.
Daj mi 1 rozsadny powod aby blokowac koniecznie po MACu to przyznam ci racje i odszczekam swoje
Co za roznica czy bedziesz blokowal po ip czy MAC. I tak jesli ktos podszyje cie pod MAC klienta (a z tym wiadomo zaden problem), ktory moze uzywac neta zostanie przepuszczaony (wyjatkiem jest sytuacja, gdy koles z prawdziwym adresem MAC nie wylacza kompa ) lub robi to rzadko.
Heh, no mówiąc wprost mam tutaj jednego takiego agenta, który to notorycznie podłącza kolejne kompy które do niego trafiają i ściąga service packi i inne cuda na łączną kwotę dobrych kilkuset MB, i robi to co drugi, trzeci dzień w godzinach popołudniowo-wieczornych, doprowadzając resztę userów do białej gorączki. Wiem, że o ile wbicie IP jest w jego zasięgu myślowym, o tyle o możliwości zmiany MACa nie wie, a nawet jeśli się dowie to i tak będzie z tym miał o całe niebo więcej kłopotu, niż z wbiciem IP. Kolo notorycznie udaje głupa, i nie chcę poprzez zablokowanie IP które "złamie", dać mu satysfakcji z wygranej "potyczki"
A z innej beczki powiem tak: Uważam, że funkcjonalność tworzenie reguł przepuszczających może mieć też inne, bardzo przydatne, zastosowania, i dlatego warto wrzucić to do kolejnej wersji pomidora.
Jeslii chodzi o "lamanie" zabezpieczenia ip To jesli zablokujesz cala pule oprocz adresow uzywanych to nie ma mozliwosci zeby sie wbil czy przesmyknal.
A moze chcesz podzielic lacze ? za pomoca skryptu Ustawsz dynamiczny podzial i zalozmy, ze delikwent i tak nigdy nie bedzie maxa wyciagal - co powinno uspokoic siec. Wiesz czasami sam QoS nie pomoze ja np. dziele skryptem bo to pewne i gdy wszyscy siedza kazdy ma swoja czesc pasma i dopiero jak ktos zwolni pasmo reszta zaczyna rozszarpywac jak chieny pozostala czesc wolnego - ale wszystko nadal pod kontrola Jak kolo sie pojawi i znowu sa wszyscy w sieci ponownie kazdy ma swoj przydzial i nikt nikomu w kasze nie dmucha.
Edytowany przez robsonn dnia 10-09-2006 23:00
Ja ci tylko doradzam sposob taki zebys nie bawil sie w kotka i myszke, tylko wpakowal skrypt i mial spokoj. Skoro lubisz wymyslac bardziej zlozone metody (co nie znaczy ze skuteczniejsze) to Twoja decyzja i nic do niej nie mam.
Nic wiecej ciekawego nie wymysle takze I'm out
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Adooni
26-04-2024 14:41
jaki router RMerlin nie pociagne, tomato/ openwrt tak non hilink,
tamtosiamto
23-04-2024 12:35
modem bez smilocka?
man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
' target='_blank'>Link
). Mam nadzieje, ze wiesz jak ja dodac 
