шлюз: vlan --> мост (lan+wifi)

[fisher74]

ТС, Вы опять не поняли... В таблесах указаны конкретные ипы на которые накладывается маскарад. У девайсов подключенных по WiFi - адреса из их числа?

[xeon_greg]

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Tue Sep 20 09:04:25 2011
*filter
:INPUT ACCEPT [18029:1445233]
:FORWARD ACCEPT [499:114754]
:OUTPUT ACCEPT [6025328:8560284814]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i eth1 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5556 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4008 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5556 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2921 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4008 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7634 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 135 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2921 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7634 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 135 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o br0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o br0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Sep 20 09:04:25 2011



чет я не пойму это что все правила?
при политиках ACCEPT толку от твоих правил
 а где маскарад ?
как ты говоришь что у тебя инет работает? с этими правилами...

[a1200]

да работает, по лану, который в составе моста в картой вайфай

ладно, переделаю по-другому:

Код: [Выделить]

#!/bin/sh
iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p ALL -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5556 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -i eth1 -o br0 -s 192.168.1.0/24 -j ACCEPT
 iptables -A FORWARD -i eth1 -o br0 -j ACCEPT
iptables -A FORWARD -i br0 -o eth1 -j ACCEPT

# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -p ALL -o eth1 -j SNAT --to-source 12.123.12.12


так будет лучше?

[xeon_greg]

ну это уже больше похоже на что-то работающее

[victor00000]

a1200
br0 используеться цифровой вайфай?

[a1200]

a1200
br0 используеться цифровой вайфай?

непонятен вопрос, а что есть аналоговый?

[victor00000]

a1200

4. Lan, который в составе моста с вайфай картой интернет есть

Хорошо.

2. защиты сети нет

Код: [Выделить]

arp -a
вывод увидите мак адрес и ип, тогда не наша мак адрес нужно против как.

Код: [Выделить]

# iptables -t filter -A FORWARD  -m mac --mac-source 08:00:27:19:78:20 -j DROP
Оно бан мак адрес, ты охрана осмотр во время команд arp -a
)))))

[a1200]

root@nas-6754:# arp -a
? (192.168.1.12) в 00:e0:4d:6e:5d:a6 [ether] на br0
78.159.62.254.freenet.com.ua (78.159.62.254) в 00:51:n8:l8:51:4f [ether] на eth1

[victor00000]

Не понятно?

[a1200]

не совсем понятно,

первый пункт показал что подключен к лану внутренней подсети клиент (в часности по мак адресу это сын с утра включил свой комп) eth0(br0)
второй пункт адрес шлюза входящего интернета eth1


при этом :

Код: [Выделить]

root@nas-6754:/etc/network/if-up.d# iwlist scanning
lo        Interface doesn't support scanning.

eth1      Interface doesn't support scanning.

eth0      Interface doesn't support scanning.

ra0       Scan completed :
          Cell 01 - Address: 00:18:E7:FA:DB:C3
                    Protocol:802.11b/g
                    ESSID:"monadm"
                    Mode:Managed
                    Frequency:2.432 GHz (Channel 5)
                    Quality:23/100  Signal level:-81 dBm  Noise level:-76 dBm
                    Encryption key:on
                    Bit Rates:54 Mb/s
                    IE: Unknown: DD260050F204104A0001101044000102104900140024E26002000101600000020001600100020001

br0       Interface doesn't support scanning.


вижу с сервака чужую сеть. Но к серваку ноутом подключиться тоже могу, только без интернета. и без паролей

Код: [Выделить]

ifconfig ra0 0.0.0.0                                                                                                         
ifconfig eth0 0.0.0.0                                                                                                       
iwconfig ra0 mode managed                                                                                                   
iwconfig ra0 mode ad-hoc                                                                                                     
iwconfig ra0 essid "test"                                                                                                   
iwconfig ra0 key s:vwxyz                                                                                                     
#iwconfig ra0 channel 6                                                                                                     
#iwconfig ra0 freq 2.412G                                                                                                   
brctl addbr br0                                                                                                             
brctl addif br0 ra0                                                                                                         
brctl addif br0 eth0                                                                                                         
ifconfig br0 192.168.1.1 netmask 255.255.255.0 up                                                                           
                                                                                                                             
/etc/init.d/dhcp3-server restart 


[a1200]

народ!! дак шо делать?  коннект вайфай есть, интернета нет!!  блин задолбали уже эти танцы!

[Гарри Кашпировский]

Если изменить политику цепочек FORWARD и INPUT на ACCEPT.

коннект вайфай есть

В чем это выражается? IP-адреса по радио устройства получают?

[a1200]

Если изменить политику цепочек FORWARD и INPUT на ACCEPT.

коннект вайфай есть

В чем это выражается? IP-адреса по радио устройства получают?

каким образом изменить?


да, соединение есть и айпи получают клиенты правильный, т.е. согласно подсети
Пользователь решил продолжить мысль 25 Сентября 2011, 01:42:27:в общем, это ненормальности работы моста. В отдельности как две отдельные подсети работают и интернет идет.

Теперь вопрос: как правильно защитить?
iwconfig ra0 key s:**** не срабатывает

[victor00000]

Теперь вопрос: как правильно защитить?
iwconfig ra0 key s:**** не срабатывает

начало

Код: [Выделить]

ifconfig ra0 down
iwconfig ra0 key off
iwconfig ra0 mode ad-hoc
iwconfig ra0 essid "you"
ifconfig ra0 ИП_Адрес up
sleep 2
iwconfig ra0 key s:12345
подожди 15 секунд увидим

Пользователь решил продолжить мысль 25 Сентября 2011, 05:26:32:

Код: [Выделить]

~$ sudo iwconfig wlan0 key s:1234
Error for wireless request "Set Encode" (8B2A) :
    SET failed on device wlan0 ; Invalid argument.


Код: [Выделить]

~$ sudo iwconfig wlan0 key s:12345
~$

Код: [Выделить]

~$ sudo iwconfig wlan0 key s:123456
Error for wireless request "Set Encode" (8B2A) :
    SET failed on device wlan0 ; Invalid argument.


Код: [Выделить]

~$ sudo iwconfig wlan0 key s:123456789
Error for wireless request "Set Encode" (8B2A) :
    SET failed on device wlan0 ; Invalid argument.


Код: [Выделить]

~$ sudo iwconfig wlan0 key s:1234567890123
~$



[a1200]

не правильная последовательность комманд выходит, после опускания интерфейса, следующая комманда уже не действительна:

Код: [Выделить]

root@nas-6754:~# ifconfig ra0 down
root@nas-6754:~# iwconfig ra0 key off
Error for wireless request "Set Encode" (8B2A) :
    SET failed on device ra0 ; Network is down.
root@nas-6754:~# iwconfig ra0 mode ad-hoc
Error for wireless request "Set Mode" (8B06) :
    SET failed on device ra0 ; Network is down.
root@nas-6754:~# iwconfig ra0 essid "you"
Error for wireless request "Set ESSID" (8B1A) :
    SET failed on device ra0 ; Network is down.


но если все то же сделать при поднятом интерфейсе, все работатет, но подключиться может кто угодно, пароль не спрашивает