Ip Mac Binding Проблем

[dodo_pv]

Пробвай с тетъра, дали виждаш резервациите и ако да, натисни "запазване" и рестартирай. Ако не стане, пълен ресет 30:30:30, качване на последния фърмуер и евентуално подмяна на рутера

Изпратено от моят SM-G975F с помощта на Tapatalk

[biro]

Добре де, никой не оспорва обратното, ама поне поясни при какви обстоятелства/случай се ползва това. Защо - какво повече ни дава като удобство или гъвкавост.... Все пак не всички знаем в подробности всичко.... хубаво е и да научаваме нещо един от друг.

В къщи имам рутер и локална мрежа. В някои от машините имам корпоративни документи, които са споделени в локалната мрежа. Идва някой приятел на гости и пита "Ква ти беше паролата за WiFi?". Да откажа ли достъп или да му дам, а де?
За целта съм вдигнал втора WiFi мрежа на същия интерфейс и му казвам "Ползвай тая мрежа с тая парола" и спомощта на iptables съм забранил достъпа на мрежата за гости към локалната мрежа. Вдигнал съм и трета безжична мрежа, към която съм вързал няколко WiFi камери и умни ключове Sonoff. Тази трета мрежа също има определени забрани с iptables, че знам ли китайците какво могат да ровят през тия камери и sonoff-и.

Друг пример от работата ми - изградих клъстер от вритуални машини разположени в различни региони с цел приложението да работи дори при спиране на сървър за сервизиране или отпадане на мрежовата връзка до даден регион. Виртуалните машини отговарящи за приложение А се намират в един LAN сегмент, а за приложение B в друг сегмент. Като за целите на сертифицирането на системата не трябва да има достъп между A и B. Достъпът на потребители до прилжения A и B става през Load balancer през публичен адрес, а балансъра от своя страна рутира към съответнaта частна мрежа според необходимото приложение. И вместо да боцкам мрежови карти за всяко приложение използвам 1 карта и на нея няколко IPта.

[Pat]

Благодаря за отговора! Но понеже не всички сме чак толкова навътре с мрежовите конфигурации, ако не е нахално ще помоля за някой прост пример като този в дома ти с трите Wifi мрежи. (може и да не са Wifi).
Да покажеш как се прави. Как се конфигурират тези iptables? Предполагам това ще е полезна информация за много хора тук.

Тия мрежи от обикновен рутер ли ги "вдигаш" или от сървър с Wifi карта?

[tolostoi]

Що задълбавате, на никой няма да му интересно. Питащия е видял един и същ мак адрес и той вероятно е на АП-то, не на клиента. По обясненията му съдя, че всъщност, нищо не му е ясно и трябва да извика някой който е по-добре от него с мрежите. Или да смени рутера, фърмуера, както вече е предложено, може този път да не обърка нищо.

[Pat]

Що задълбавате, на никой няма да му интересно. Питащия е видял един и същ мак адрес и той вероятно е на АП-то, не на клиента. По обясненията му съдя, че всъщност, нищо не му е ясно и трябва да извика някой който е по-добре от него с мрежите. Или да смени рутера, фърмуера, както вече е предложено, може този път да не обърка нищо.

НЕ говори от името на други. Ако на теб не ти е интересно, то за мен и много други е! И въобще не става въпрос за проблема на питащия - неговия проблем отдавна е ясен - да си ъпдейтне рутера, ако пак не става - смяна.
Тук вече става въпрос за опции на мрежови настройки , които малко от обикновените потребители знаят как се правят....а могат да бъдат както се вижда от примерите доста полезни.

[emil vasilev]

Най-простият пример е че на една мрежова карта в Windows може да задаваш неограничен брой статични IP адреси.

[biro]

Като за начало ти трябва рутър, който позволява инсталиарне на някаква рутърска ОС (аз използвам DD-WRT с рутър Netgear R7800 имам и един Linksys WRT160N в офиса) .
От настройкте Wireless > Basic settings избираш Add virtual AP

На скрийншота съм добавил 2 виртуални APта към интерфейс ath1, който ми е 2.4Ghz wifi (има и ath0 на 5Ghz, но камерите и sonoff-ите работят само на 2.4)


После на Setup > Networking задавам локални IPта на 2те мрежи ath1.1 и ath1.2 (даже не съм ги добавил в бридж).


Малко по-надолу в Setup > Networking задавам DHCP обслужавне, не че е задължително, но за удобство ( а не да казвам на гостите ръчно да си слагат IPта в настройките на телефоните):


Сега за iptables.
За да забраня достъпа на камерите до основната LAN мрежа 192.168.0.0/24 :

Код:

iptables -I FORWARD -i ath1.1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j logdrop

Код:

iptables -I FORWARD -i ath1.2 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j logdrop

Понеже софтуерът на камерките периодично пингва гейтуея 192.168.10.1 и ако няма отговор си рестартират мрежите докато получат пинг съм разрешил пинга в тая мрежа (за всеки случай нека да се пингваит и по между си с маска /24):

Код:

iptables -I INPUT -i ath1.2 -p icmp --icmp-type echo-request -d `nvram get ath1.2_ipaddr`/`nvram get ath1.2_netmask` -m state --state NEW,ESTABLISHED,RELATED -j logaccept

И за да има интернет досъп до камерите( и за гостите), за да се преглеждат през приложение на телефона, когато не съм в обхвата на WiFi:

Код:

iptables -t nat -I POSTROUTING  -o `get_wanface` -s `nvram get  ath1.1_ipaddr`/`nvram get ath1.1_netmask` -j SNAT --to `nvram get  wan_ipaddr`
iptables -t nat -I POSTROUTING  -o `get_wanface` -s `nvram get ath1.2_ipaddr`/`nvram get ath1.2_netmask` -j SNAT --to `nvram get wan_ipaddr`

Евентуално мога да забраня достъпа между устройствата във мрежата за гости ath1.1 така, че да не могат да си бъркат един на друг в споделените папки (не съм го направил на моя рутер).
Преди това обаче се разрешава достъпа от и до гейтуея на ath1.1, за да не останат без интернет гостите:

Код:

iptables -I INPUT -i ath1.1 -s `nvram get ath1.1_ipaddr` -m state --state NEW -j logaccept
iptables -I INPUT -i ath1.1 -d `nvram get ath1.1_ipaddr` -m state --state NEW -j logaccept
iptables -I INPUT -i ath1.1 -d `nvram get ath1.1_ipaddr`/`nvram get ath1.1_netmask` -m state --state NEW -j logdrop

За удобство използвам променливи, съхранени в nvram на рутера. По този начин ако променя IP адресите или типът на интернет връзка да не се налага преправяне на iptables. Стойностите са:

Код:

nvram get lan_ipaddr = 192.168.0.1
nvram get lan_netmask = 255.255.255.0
nvram get ath1.1_ipaddr = 192.168.5.1
nvram get ath1.1_netmask = 255.255.255.0
nvram get ath1.2_ipaddr = 192.168.10.1
 nvram get ath1.2_netmask = 255.255.255.0

nvram get  wan_ipaddr = тук излиза публичния ми IP

Разбира се повечето рутери предлагат пускане на WiFi мрежа за гости само с клик, но няма как да се направи финната до-настройка като да не се виждат помежду си и разни такива.
Предпочитам да използвам рутери поддържащи DD-WRT за пълен контрол.

ВАЖНО: не използвайте горните настройки на готово. Много е вероятно имената на мрежовите интерфейси на вашия рутер да са различни, примерно eth0, eth1, wl0.1.
След настройка на тия неща задължително се тества чрез симулации - свързване към съответната wifi мрежа, проверка има ли интернет, пинг към гейтуея, пинг към основната LAN мрежа, виждат ли се по между си устройства в една мрежа или между различните мрежи.
Използването на съмнителни устройства като камери, умни контакти, умни крушки закупени от сайтове като алиекспрес винаги крие рискове. Устройствата може да се използват като ботнет дори без знанието на производителя (или пък със), така че наблюдавайте кво става.

[Pat]

Благодаря за изчерпателния отговор!