[Ninux-Wireless] R: Bloccare accesso a porta wan tramite mac address

Giuseppe De Marco demarcog83 a gmail.com
Mar 2 Feb 2016 09:24:29 CET 

Hai due modi abbastanza standard:

1. Advanced routing, crei delle tabelle che in base alla provenienza
fanno routing selettivo
2. VPN, nello specifico openVPN. La soluzione che adottiamo per lo più
nell'isola di Cosenza.

Guida openVPN ninux
https://docs.google.com/document/d/1RqTMfOxMGivXsIJ-BbyeoMlOGfV7p-ygTAZZfXz8leI/edit?usp=sharing

appenà 2 minuti farò anche una guida radius


Il 1 febbraio 2016 21:29, Claudio <claud43 a gmail.com> ha scritto:
> Grazie per l'aiuto
>
> Diciamo che per il momento ho tappato in questo modo nell'attesa di trovare una soluzione più efficace
> Sperando di avere fatto giusto devo cercare di bloccare il ping verso la wan
> Chiedo anche a tutti come fate nelle vostre isole a bloccare o isolare accessi alla wan?
>
> config rule
>         option dest 'wan'
>         option src_mac 00:00:00:00:00:00'
>         option target 'ACCEPT'
>         option enabled '0'
>         option name 'sblocca mac address pc'
>         option src 'lan'
>
>
> config rule
>         option src 'lan'
>         option dest 'wan'
>         option name 'blocca tutta la rete'
>         option src_ip '10.94.0.0/16'
>         option target 'REJECT'
>         option enabled '0'
>
>
>
>
> Da: wireless-bounces a ml.ninux.org [mailto:wireless-bounces a ml.ninux.org] Per conto di Giuseppe De Marco
> Inviato: domenica 31 gennaio 2016 22:29
> A: wireless a ml.ninux.org
> Oggetto: Re: [Ninux-Wireless] Bloccare accesso a porta wan tramite mac address
>
> Il 31 gennaio 2016 20:41, Claudio <claud43 a gmail.com> ha scritto:
>> Ciao a tutti
>>
>>
>>
>> Ho bisogno di auto
>>
>>
>>
>> È possibile con openwrt bloccare tutto l’accesso verso l’esterno (wan)
>> e dare accesso solo hai mac address che permetto io? In modo tale di
>> lasciare libera la rete mesh e bloccare l’accesso internet dalla porta wan.
>
> concettualmente metti il forward in reject e aggiungi le regole come custom filters
>
> /sbin/iptables -A FORWARD -i ethX -m mac --mac-source YOUR-MAC-ADDRESS-HERE -j ACCEPT /sbin/iptables -A FORWARD -i ethX -m mac --mac-source
> YOUR-MAC-ADDRESS-HERE_2 -j ACCEPT
>
> però openWRT usa la chain delegate_forward alla fine dello stack di FORWARD, quindi devi inserirle tu nell'ordine di priorità affinchè il reject relativo alla rete non le droppa prima della regola ad-hoc.
>
> se queste corrispondono al peer questi raggiungono il nat altrimenti le regole a seguire, fino al delegate_forward, essendo in policy reject, provvederanno a droppare _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless

Maggiori informazioni sulla lista Wireless