Вопросы Теги

Клиентская изоляция в Ubuntu с hostapd

Мы создали точку доступа Wi-Fi или использование точки беспроводного доступа hostapd в Ubuntu. Как мы можем изолировать клиенты Wi-Fi, которые тот же путь "Клиентская Изоляция" делает в некоторых точках доступа? Есть ли любой способ, которым мы можем объединиться iptables с hostapd применять некоторые правила брандмауэра между клиентами Wi-Fi?

1
задан 15 October 2015 в 04:25

3 ответа

Я следовал инструкциям, но никакой удаче. Объяснить...

я имею, устанавливают Горячую точку на Raspberry Pi. Я хочу достигнуть клиентской изоляции с помощью iptables. Прежде, чем переместиться в iptables путь, я пытался поместить ap_isolate=1 флаг в hostapd.conf файл. К сожалению, это не работало на меня. Ниже шаги, которые я сделал. Однако это не работает. Можно ли любезно сообщить мне, пропустил ли я что-нибудь здесь.

  1. Горячая точка Установки с адресом Концентратора (Raspberry Pi) как 192.168.42.1

  2. Мой iptables очень прост, следовал Вашим инструкциям здесь.

    *filter

    : ВХОД ПРИНИМАЕТ [0:0]

    : ПЕРЕДАЙТЕ [0:0]

    ОТБРАСЫВАНИЯ: ВЫВОД ПРИЗНАЕТ, что [0:0]

    //Принимает весь трафик, который предназначается для меня.

    А ВВОДЯТ-s 192.168.42.0/24-d, 192.168.42.1-j ПРИНИМАЮТ

    //Отклонение весь трафик, который предназначается для кого-либо еще в сети.

    А ВВОДЯТ-s 192.168.42.0/24-d 192.168.42.0/24-j ОТБРАСЫВАНИЕ

  3. Подключение две машины к горячей точке WiFi. IP-адрес, который они получают, 192.168.42.244 и 192.168.42.61

  4. Теперь, когда я проверяю с помощью ping-запросов от.244 до.61, он проверяет с помощью ping-запросов. Когда я ssh от.244 до.61 это соединяется.

  5. , Когда я вижу sudo iptables-L-nv производят его, сеет 163 пакета в, ПРИНИМАЮТ цепочку и 3 пакета в цепочке ОТБРАСЫВАНИЯ, Но коммуникация между этими двумя клиентами работает. Я ожидаю это, что коммуникация должна была перестать работать. Любая справка / указатели ценится.
0
ответ дан 30 September 2019 в 07:55

Создайте правило iptables о вводе и выводе, который позволяет диапазону исходного адреса говорить со шлюзом маршрутизатора/значения по умолчанию, дополнительными правилами для любых серверов или других ресурсов на той подсети.

Создают заключительное правило, что пакеты отбрасываний между исходным адресом располагаются и диапазон исходного адреса. 

iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMESERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMEOTHERSERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP

основы этой цепочки событий:

  1. , если это находится в подсети и это говорит со шлюзом, примите его
  2. , Если это находится в подсети, и это говорит с сервером, примите его
  3. повторения Правила 2, пока у Вас не заканчиваются приемлемые серверы
  4. , Если это находится в подсети, и это говорит с чем-либо еще в подсети, отбросьте его
0
ответ дан 30 September 2019 в 07:55

В настоящее время правила iptables не влияют на пересылаемые пакеты непосредственно через интерфейс Wi-Fi, согласно этому.

Хорошая новость заключается в том, что в Hostapd 2.9 есть опция ap_isolate, которая делает именно то, что вы описали. Об этом можно прочитать здесь.

После установки этого флага все пакеты от устройств в сети точки доступа будут отбрасываться точкой доступа.

0
ответ дан 26 June 2020 в 18:17

Другие вопросы по тегам:

Похожие вопросы: