Логин:   Пароль:   
   
 
X   Сообщение сайта
(Сообщение закроется через 2 секунды)
 
> D-link Dir-300/320/330/400/615#Asus Wl-520gU/gC, Настройка роутера на прошивке openwrt/dd-wrt
Lia_Zerg
сообщение 29.8.2017, 13:03
Сообщение #401


Чемпион


Группа: Пользователи
Сообщений: 2545
Регистрация: 14.8.2011
Пользователь №: 199982
Спасибо сказали: 174 раз(а)



А вот хз, скорее всего та же.
Счас ковыряю на работе тот горемычный дир300, чуть позже расскажу )

Подсеть одна. гости гостей не видят. Логично.


--------------------
 
+Цитировать сообщение
Кашалот
сообщение 29.8.2017, 13:29
Сообщение #402


Форуман
Иконка группы

Группа: Модераторы
Сообщений: 32148
Регистрация: 1.2.2008
Из: Сокольники
Пользователь №: 37639
Спасибо сказали: 1993 раз(а)



Цитата
Подсеть одна. гости гостей не видят. Логично.

ТЗ-то может и логичное, а исполнение совсем не логичное и не типичное должно быть.
А если еще уровнем объяснения выше подняться? Что должно быть на выходе конечным результатом простого взгляда?
Например, я делал вай-фай в кафе. Стоит зухель в кабинете, раздает инет. В его сети 192.168....находятся сотрудники кафе, общие папки, принтеры и прочее. Одним из клиентов является еще один роутер, Асус, к которому подключаются гости. Они получают от Асуса сеть 172.17...или 10.10...неважно, получают интернет от первого роутера, видят друг друга (нам наплевать, разумеется), а в 192.168...им хода нет. Вот так я представляю гостевую сеть в чистом виде. Свои vs Чужие, инет общий, локалки разделены.
У тебя-то какая картина должна выйти, а то я конечно здоров плохо понимать, но и ты от сообщения к сообщению меняешь показания.
 
+Цитировать сообщение
koshev
сообщение 29.8.2017, 21:31
Сообщение #403


Чемпион


Группа: Пользователи
Сообщений: 2564
Регистрация: 25.7.2007
Из: г.Москва, Западное Дегунино
Пользователь №: 29936
Спасибо сказали: 199 раз(а)



Насколько я помню, в DD-WRT есть такая опция "AP-isolation" (Wireless -> Basic Setting)
Закрыть доступ к локалке можно правилом в iptables (Administration - Commands), что-то типа
Код
iptables -I FORWARD -i ap0.1 -o vlan1 -d 192.168.0.0/24 -j REJECT

По идее этого достаточно.

А вообще...
Я бы это DIR... сделал тупой точкой доступа, гостям просто выдавать отдельный влан, а резатьлокалку на маршутизаторе, на том, который другой.

Сообщение отредактировал koshev - 29.8.2017, 21:35


--------------------
ПИН: 1514481
[/url]
 
+Цитировать сообщение
Lia_Zerg
сообщение 30.8.2017, 10:21
Сообщение #404


Чемпион


Группа: Пользователи
Сообщений: 2545
Регистрация: 14.8.2011
Пользователь №: 199982
Спасибо сказали: 174 раз(а)



Цитата
Закрыть доступ к локалке можно правилом в iptables

Вот то, что мне нужно.
Где бы теперь нарыть синтаксис этого дела..

Цитата
Я бы это DIR..

Я бы тоже давно выкинул. Но в рабочем цеху тоже нужен вайфай, лишнее оборудование лень выпрашивать, да и все равно в минуты свободного времени хочется себя чем-нибудь занять..

Цитата
сделал тупой точкой доступа, гостям просто выдавать отдельный влан, а резатьлокалку на маршутизаторе, на том, который другой.

До поры до времени так и было, жил он под родной длинковской прошивкой, но вседозволенность для приходящих и открытость локальных ресурсов, в т.ч. со служебной информацией по самбе - достала, захотелось сделать что-то полезное smile.gif

А вот как сделать отдельный влан я так и не догнал.
Резать локалку на том, который другой (Zyxel USG20W-VPN) - разбираться нет никакого желания, пока работает - не трожь. По крайней мере, в рабочее время. А в нерабочее у меня свои дела, я не настолько много денех получаю biggrin.gif

Цитата
Где бы теперь нарыть синтаксис этого дела..

Нашел на ддврт вики... полезу изучать.


--------------------
 
+Цитировать сообщение
Lia_Zerg
сообщение 30.8.2017, 16:00
Сообщение #405


Чемпион


Группа: Пользователи
Сообщений: 2545
Регистрация: 14.8.2011
Пользователь №: 199982
Спасибо сказали: 174 раз(а)



Блин, никак не получается.
Koshev, вот мои интерфейсы:
как в моем случае должна выглядеть команда iptables для запрета доступа интерфейса ath0.1 (вирт.wifi) в сеть 192.168.1.0/24 ?


"iptables -I FORWARD -s 192.168.1.0/255.255.255.0 -j DROP" - срабатывает. Но мне надо бы ограничить только ath0.1.
Если не сложно, ответь плз.


--------------------
 
+Цитировать сообщение
koshev
сообщение 31.8.2017, 20:14
Сообщение #406


Чемпион


Группа: Пользователи
Сообщений: 2564
Регистрация: 25.7.2007
Из: г.Москва, Западное Дегунино
Пользователь №: 29936
Спасибо сказали: 199 раз(а)



Хорошо было бы этот выхлоп сразу увидеть.
Понятно, что сеть роутера 10.10.1.0/24 и она одна на мосте br0 c интерфейсами ath0, ath0.1 и vlan0. Это то что увидел.
Нужно вывести из моста ath0.1 и назначить ему адрес, т.е сделать подсеть для гостей. И дальше правилом
Код
iptables -I FORWARD 1 -i ath0.1 -o vlan2 -s гостевая_подсеть/маска -d 192.168.1.0/24 -j DROP

закрыть доступ гостям в локалку.
Можно ещё в обратную сторону добавить.
Код
iptables -I FORWARD 2 -i vlan2 -o ath0.1 -s 192.168.1.0/24 -d гостевая_подсеть/маска -j DROP

Вот как-то так.

Сообщение отредактировал koshev - 31.8.2017, 20:14


--------------------
ПИН: 1514481
[/url]
 
+Цитировать сообщение
Lia_Zerg
сообщение 4.9.2017, 12:00
Сообщение #407


Чемпион


Группа: Пользователи
Сообщений: 2545
Регистрация: 14.8.2011
Пользователь №: 199982
Спасибо сказали: 174 раз(а)



Благодарю, сейчас буду пробовать.

Все ок, заработало! Осталось только побороть запись в iptables. Iptables-save не работает, строка в параметрах запуска тоже не исполняется после перезагрузки.
Как вдолбить это правило при загрузке?

Откуда-то с заграничных форумов: "The basic *WRT configuration has a read-only root filesystem, so it cannot save customizations in the filesystem."
Как, блин, прописать правило в загрузку в таком случае? Может в крон прописать?

Только вот как? blink.gif

Фууух, разобрался. iptables надо было сохранять как "сохр.брандмауэр", а не не как параметры запуска.

Koshev, еще раз спасибо!


--------------------
 
+Цитировать сообщение
Кашалот
сообщение 21.9.2017, 1:54
Сообщение #408


Форуман
Иконка группы

Группа: Модераторы
Сообщений: 32148
Регистрация: 1.2.2008
Из: Сокольники
Пользователь №: 37639
Спасибо сказали: 1993 раз(а)



Наконец-то увидел реализацию гостевой сети на обычном роутере. Оказалось, она есть на моем biggrin.gif
Понял, что писал фигню в этой теме. Гости получают ту же сеть 192.168.0...., что и обычные пользователи, но якобы ничего и никого не видят (друг друга и "хозяев")...это я уже не тестил, поверим так, однако сам роутер не только не открывается, но даже не пИнгается (какое коварство- не пИнггать собственный шлюз!), а интернет есть. И есть галочка
Allow guests to see each other and access my local network
приравнивающая их к хозяевам.
Мало того - один комп что в гостевой сети, что в хозяйской, получает один и тот же ип, во как. Видимо, в гостевой к нему сами приписываются свойства, которые в вашем продвинутом роутере вы писали руками. Шикарно.
Я был уверен, что должен быть другой сегмент.
 
+Цитировать сообщение

21 страниц V  « < 19 20 21
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0



© 2005—2016 ООО «Нэт Бай Нэт Холдинг»,
Все права защищены.
Правила пользования ресурсами