aprokopov
Заблокирован
- Реєстрація
- 17.01.12
- Місто
- Днепродзержинск
Перенаправление на отдельный веб сервер.
Захист домашньої мережі: LAN, Wi-Fi
- Автор теми Stas567
- Дата створення
aprokopov
Заблокирован
- Реєстрація
- 17.01.12
- Місто
- Днепродзержинск
Re: Пароль на wi-fi: "за" и "против&qu ot;
Сделал пару тестов с ограничением скорости и без. Для наглядности так сказать.
С таким ограничением сильно не разгуляются. Раньше по два-три гига скачивали в сутки.
Сделал для зарегистрированных 50 мегабайт в сутки на полной скорости, а потом шейп.
Хорош их баловать! Бери пример с мобопов -50 мб за 3 грн.
Сделал пару тестов с ограничением скорости и без. Для наглядности так сказать.
С таким ограничением сильно не разгуляются. Раньше по два-три гига скачивали в сутки.
Сделал для зарегистрированных 50 мегабайт в сутки на полной скорости, а потом шейп.
Останнє редагування:
ПотапаПапа
ОстапаПапа
Блин, научите как это сделать. Хочу публичную точку доступа сделать для школоты у себя в магазине.
Себастьян Перейро
торговець чорним деревом
ПотапаПапа, осилишь http://wiki.openwrt.org/doc/recipes/guest-wlan ?
aprokopov
Заблокирован
- Реєстрація
- 17.01.12
- Місто
- Днепродзержинск
Тут зависит от модели роутера. Модуль шейпера может и не поместиться.
Могу выложить инструкцию как сделать на одном SSID безлимит по скорости для избранных и ограничение для остальных.
Поставь точку Ubiquity UniFi LR - там все есть для этого дела, без извратов, с возможностью рекламы через страничку авторизации. Да и точка мощная.
ПотапаПапа
ОстапаПапа
Maxxx, а денех скок?
Себастьян Перейро
торговець чорним деревом
гы http://www.technotrade.com.ua/Products/Ubiquiti_UniFi-LR.php 2,5 кгрн
твои халявщики оценятДобавлено через 59 секунд
на гостевом так не получиться организовать ?
Останнє редагування:
aprokopov
Заблокирован
- Реєстрація
- 17.01.12
- Місто
- Днепродзержинск
Я же писал, что всё получится. Но настройка будет сложнее. Смысл в том, что бы запихнуть "гостей" в отдельный VLAN, изолировать от основной сети и уже на этот интерфейс навесить правила шейпинга. Всё то же самое можно сделать в пределах одного SSID. Принципиальной разницы в этом не будет. Разве что ARP-кеш между сетями не будет синхронизирован. ИМХО.
Сейчас напишу как сделать на одном SSID.
Останнє редагування:
ПотапаПапа
ОстапаПапа
гы http://www.technotrade.com.ua/Products/Ubiquiti_UniFi-LR.php 2,5 кгрн
та вы чи здурели?? Я ищу халяву халявную, за ноль. Ну у меня стоит роутер однорогий туполинк за 200грн с эпицентра (с горловки приехал с нами). И всё. Больше ничё нету. Есть только халявный энторнет. Им то я и хочу поделиться со школярами. Я уже им делюсь со школярами (дал им пароль и они на переменках носятся сюда загрузить шото.
aprokopov
Заблокирован
- Реєстрація
- 17.01.12
- Місто
- Днепродзержинск
Инструкция предусматривает что вы уже установили в свой роутер прошивку OpenWRT и сменили пароль на свой.
И так начнём:
Откроем файл настроек файрвола. Для того подключившись по SSH к роутеру выполним комманду:
Удерживая клавишу "d" полностью затрём содержимое, потом вставим свои правила. Чтобы перейти в режим редактирования нажмём клавишу "i":
Выходим из режима редактирования нажав "Esc" и сохраняем дважды нажав комбинацию "LShift+Z".
Далее аналогично меняем содержимое других файлов:
Включаем крон:
Даём разрешение скрипту на выполнение:
Код:
vi /etc/config/firewall
Код:
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward DROP
# Uncomment this line to disable ipv6 rules
option disable_ipv6 1
config rule
option name Allow-DHCP-Renew
option src wan
option proto udp
option dest_port 68
option target ACCEPT
option family ipv4Далее аналогично меняем содержимое других файлов:
Код:
vi /etc/config/network
Код:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option ifname 'eth0'
option type 'bridge'
option proto 'static'
option ipaddr '172.16.0.1' #IP роутера.
option netmask '255.255.0.0' #Маска подсети.
#Настройка вашего интернет провайдера. У меня автоматическое получение IP по DHCP от провайдер.
config interface 'wan'
option ifname 'eth1'
option proto 'dhcp'
config switch
option name 'eth0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'eth0'
option vlan '1'
option ports '0 1 2 3 4'
Код:
vi /etc/config/dhcp
Код:
config dnsmasq
option domainneeded 1
option boguspriv 1
option filterwin2k 0 # enable for dial on demand
option localise_queries 1
option rebind_protection 1 # disable if upstream must serve RFC1918 addresses
option rebind_localhost 1 # enable for RBL checking and similar services
#list rebind_domain example.lan # whitelist RFC1918 responses for domains
option local '/lan/'
option domain 'lan'
option expandhosts 1
option nonegcache 0
option authoritative 1
option readethers 1
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
#list server '/mycompany.local/1.2.3.4'
#option nonwildcard 1
#list interface br-lan
#list notinterface lo
#list bogusnxdomain '64.94.110.11'
config dhcp lan
option interface lan
option start 10 #Первый адрес клиента.
option limit 65500 #Максимум IP клиентов.
option leasetime 1h
config dhcp wan
option interface wan
option ignore 1
Код:
vi /etc/config/wireless
Код:
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11ng'
option path 'pci0000:00/0000:00:00.0'
option chanbw '20'
option diversity '1'
option beacon_int '100'
option compression '1'
option uapsd '1'
option turbo '1'
option ff '1'
option country 'UA'
option txpower '20'
option noscan '1'
option htmode 'HT40'
option disabled '0'
config wifi-iface
option device 'radio0'
option network 'lan'
option mode 'ap'
option ssid 'FREE' #SSID вашей сети.
option isolate '1'
Код:
vi /bin/common-rules.sh
Код:
#!/bin/sh
iptables -w -P FORWARD DROP
iptables -w -F FORWARD
#Общий лимит скорости для чужаков. Жирным указано количество пакетов в секунду.
iptables -w -I FORWARD ! -d 172.16.0.0/16 -m limit --limit [B]10[/B]/sec --limit-burst 20 -j ACCEPT
iptables -w -I FORWARD ! -s 172.16.0.0/16 -m limit --limit [B]10[/B]/sec --limit-burst 20 -j ACCEPT
#MAC Адреса без ограничения скорости:
iptables -w -I FORWARD -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
#IP Адреса без ограничения скорости:
iptables -w -I FORWARD -d 172.16.0.10 -j ACCEPT
iptables -w -I FORWARD -s 172.16.0.10 -j ACCEPT
#Интернет ресурсы без ограничения скорости:
iptables -w -I FORWARD -s dnepr-online.ru -j ACCEPT
iptables -w -I FORWARD -d dnepr-online.ru -j ACCEPT
#Пускаем всех в интернет (Включаем NAT на интерфейсе eth1):
iptables -w -t nat -D POSTROUTING -o eth1 -j MASQUERADE
iptables -w -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Код:
crontab -e
Код:
#Каждые 10 минут загружать правила шейпинга:
*/10 * * * * /bin/common-rules.sh
Код:
/etc/init.d/cron enable
Код:
/etc/init.d/cron restart
Код:
chmod +x /bin/common-rules.shНедостатки решения:
1. Скорость ограничивается в пакетах/с. Это значит что точный лимит не удастся указать, так как размер пакета бывает разный.
2. После старта роутера в течении времени до 10 минут в интернет не пустит никого. Время можно сократить в кроне, но побочным эффектом является кратковременное (до 1 секунды) снятие ограничения скорости с гостей каждые X минут при обновлении правил iptables.
3. Отсутствие шифрования.
Проверено и протестировано на TP-Link WRT-741ND аппаратной версии 2.4 с прошивкой OpenWRT и BusyBox v1.23.2 (2015-09-28 07:00:33 CEST) built-in shell (ash).
Должно работать и на других устройствах с OpenWRT.
Недостаток №3 можно решить изменив настройки шифрования роутера, тогда чужаков пустит только при авторизации на роутере или radius сервере.
Останнє редагування:
Андрюх@dp.ua
Пенсіонер
с ПотапаПапа
Re: Пароль на wi-fi: "за" и "против"
Потапыч.
Самый дешевый вариант, но безопасный, купить бу точку типа твого роутера. 200-250 грн.
Кабелем соединить с основным. На втором отключить дхсп.
Твоя сеть запаролена, на втором открытая + включить ип изоляцию.
Чет не получается поостыми словами опять к высшему разуму заносит
Если еще актуально могу в личку проконсультировать.
Добавлено через 7 минут
То есть с человеком который описывает свою приблуду как рогатый из ашана?
Редактировать файлы конфига по ssh?
Ну. Ну.
А цель какова? Он должен отказатся от затеи с халявным ви фи?
Добавлено через 16 минут
Самый простой и дешевый вариант затрат 0.
Открой свою сетку. Сними пароль.
В системе пропиши статические ip для всех своих устройств, включи lp изоляцию, ARP для своих устройств.
А халявщикам хдсп выдаст ip в диапазоне 100- 120.
Для каждого ip из этого диапазона правило шейпа с лимитом 512к.
Время аренды ip час, чтобы не засиживались.
Все. Если начнут подгружать сетку порежеш лимиты или кол-во выдаваемых ip.
Потапыч.
Самый дешевый вариант, но безопасный, купить бу точку типа твого роутера. 200-250 грн.
Кабелем соединить с основным. На втором отключить дхсп.
Твоя сеть запаролена, на втором открытая + включить ип изоляцию.
Чет не получается поостыми словами
опять к высшему разуму заносит Если еще актуально могу в личку проконсультировать.
Добавлено через 7 минут
То есть с человеком который описывает свою приблуду как рогатый из ашана?
Редактировать файлы конфига по ssh?
Ну. Ну.
А цель какова? Он должен отказатся от затеи с халявным ви фи?
Добавлено через 16 минут
Самый простой и дешевый вариант затрат 0.
Открой свою сетку. Сними пароль.
В системе пропиши статические ip для всех своих устройств, включи lp изоляцию, ARP для своих устройств.
А халявщикам хдсп выдаст ip в диапазоне 100- 120.
Для каждого ip из этого диапазона правило шейпа с лимитом 512к.
Время аренды ip час, чтобы не засиживались.
Все. Если начнут подгружать сетку порежеш лимиты или кол-во выдаваемых ip.
Останнє редагування:
aprokopov
Заблокирован
- Реєстрація
- 17.01.12
- Місто
- Днепродзержинск
Re: Пароль на wi-fi: "за" и "против"
Просто открыть сеть тоже опасно. В плане снифферов. Тут только разные VLANы и грамотно настроенный файрвол.
Как говорится нужно быть специалистом. У меня есть мечта - всеукраинская сеть хотспотов. Как хобби - писал ПО для реализации. Запустил тестовый образец. Сейчас биллинг обслуживает несколько точек доступа в разных частях города. Точки доступа можно разделить на группы. Для этих групп назначить отдельные админки. При желании можно для каждой группы прописать отдельные правила тарификации. Админ или клиент решает будет ли доступ к другим группам хотспотов (опция роуминг). Два вида авторизации (открытая сеть по MAC и WPA2-EAP шифрование вход по логину и паролю). Общий счет для нескольких устройств клиента. Это еще не весь функционал.
Это все при условии наличия подобного функционала в вебморде. Все это можно сделать на горгулье. Даже к OpenWRT вебморду прикрутить можно.Потапыч.
Самый дешевый вариант, но безопасный, купить бу точку типа твого роутера. 200-250 грн.
Кабелем соединить с основным. На втором отключить дхсп.
Твоя сеть запаролена, на втором открытая + включить ип изоляцию.
Чет не получается поостыми словами
Если еще актуально могу в личку проконсультировать.
Добавлено через 7 минут
То есть с человеком который описывает свою приблуду как рогатый из ашана?
Редактировать файлы конфига по ssh?
Ну. Ну.
А цель какова? Он должен отказатся от затеи с халявным ви фи?
Добавлено через 16 минут
Самый простой и дешевый вариант затрат 0.
Открой свою сетку. Сними пароль.
В системе пропиши статические ip для всех своих устройств, включи lp изоляцию, ARP для своих устройств.
А халявщикам хдсп выдаст ip в диапазоне 100- 120.
Для каждого ip из этого диапазона правило шейпа с лимитом 512к.
Время аренды ip час, чтобы не засиживались.
Все. Если начнут подгружать сетку порежеш лимиты или кол-во выдаваемых ip.
Просто открыть сеть тоже опасно. В плане снифферов. Тут только разные VLANы и грамотно настроенный файрвол.
Как говорится нужно быть специалистом. У меня есть мечта - всеукраинская сеть хотспотов. Как хобби - писал ПО для реализации. Запустил тестовый образец. Сейчас биллинг обслуживает несколько точек доступа в разных частях города. Точки доступа можно разделить на группы. Для этих групп назначить отдельные админки. При желании можно для каждой группы прописать отдельные правила тарификации. Админ или клиент решает будет ли доступ к другим группам хотспотов (опция роуминг). Два вида авторизации (открытая сеть по MAC и WPA2-EAP шифрование вход по логину и паролю). Общий счет для нескольких устройств клиента. Это еще не весь функционал.
Ты наверняка в курсе что данный функционал есть в стоковых прошивках 741 и 841.
Они отличаются версией железа, то биш процессорной производительностью.
AP Isolation (изоляция точки доступа)--- есть.
Таблица ARP--- есть
контроль пропускной способност--- есть (шейп)
Я почему то уверовал, что этого достаточно для защиты от сниферов.
Ни одна прога на андроиде при включенной AP Isolation не светила чужой трафик по WiFi.
Если помиляюсь поправь, плиз!
Добавлено через 7 минут
Добавлю по себе.
Живу в общаге. Сканится 10-20 сеток.
Ради эксперимента оставил свою сетку открытой.
Нафиг кому нужно
5 телефонов присобачилось за месяц.
Прописал им ДХСП с 100-120.
Выделил им правило с IP с 100-120 512k. Нехай клубятся в этом русле.
Сказать что почувствовал нагрузку? Так нет.
741 V1 справляется. Иногда контролирую в меню статистика обьем, но пока нет ни одного торррент качалщика.
Поэтому сетку не закрываю.
Но мысли поэксперементироват с Горгульей И Опен ВРТ посещ0ают.
Если что обращусь к тебе как профи за советом.
Они отличаются версией железа, то биш процессорной производительностью.
AP Isolation (изоляция точки доступа)--- есть.
Таблица ARP--- есть
контроль пропускной способност--- есть (шейп)
Я почему то уверовал, что этого достаточно для защиты от сниферов.
Ни одна прога на андроиде при включенной AP Isolation не светила чужой трафик по WiFi.
Если помиляюсь поправь, плиз!
Добавлено через 7 минут
Добавлю по себе.
Живу в общаге. Сканится 10-20 сеток.
Ради эксперимента оставил свою сетку открытой.
Нафиг кому нужно
5 телефонов присобачилось за месяц.
Прописал им ДХСП с 100-120.
Выделил им правило с IP с 100-120 512k. Нехай клубятся в этом русле.
Сказать что почувствовал нагрузку? Так нет.
741 V1 справляется. Иногда контролирую в меню статистика обьем, но пока нет ни одного торррент качалщика.
Поэтому сетку не закрываю.
Но мысли поэксперементироват с Горгульей И Опен ВРТ посещ0ают.
Если что обращусь к тебе как профи за советом.
Останнє редагування:
Roman_UA
linux user
Я на мощном и функциональном 66-м асусе не смог настроить лимит на гостевую сеть (она в нем уже есть). Правда, пробовал только на штатном ПО и на Мерлине. Вот не понимаю, почему такую очевидную вещь как ограничения гостевой сети не реализовали?