Isolation wifi -> lan

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Matériels à base de Broadcom
Author Message
djsmoye
DD-WRT Novice


Joined: 06 May 2007
Posts: 5

PostPosted: Sun Jul 03, 2011 20:02    Post subject: Isolation wifi -> lan Reply with quote
Bonsoir à tous,

Voilà j'utilise depuis longtemps dd-wrt sur un routeur Buffalo et quelques changements imposent que je doive isoler les utilisateurs du wifi de ceux du lan pour éviter que toute personne puisse avoir accès à un pc sur le lan.

Ma configuration actuelle se présence comme ceci:

DSL ---> Switch LAN (avec pc et imprimantes) ---> Buffalo ---> Wifi

Je ne sais pas si je m'explique correctement mais en résumé tout utilisateur du wifi ne doit pas avoir accès aux pc/imprimantes.

Est-ce qu'il y a moyen de faire ce genre de configuration sur dd-wrt?

Merci d'avance pour votre aide.
Sponsor
Oaxley
DD-WRT User


Joined: 19 Jul 2007
Posts: 105

PostPosted: Mon Jul 04, 2011 9:59    Post subject: Du firewall... Reply with quote
Hello djsmoye,

Si je comprend bien:
Le port WAN de ton WRT54 est connecté a un des ports de ton switch, switch sur lequel sont connectées imprimantes et PC. Right ?

Ce que tu cherches a faire c'est:
Lorsque connecté en WiFi sur ton AP Buffalo (que je ne connais pas coz WRT54) tu veux empecher ces users d'atteindre le rezo du switch.
Le mieux c'est de scripter des regles de Firewall type iptables.

Indiques ton plan d'adressage LAN, WAN ce sera plus simple.

Oaxley
djsmoye
DD-WRT Novice


Joined: 06 May 2007
Posts: 5

PostPosted: Mon Jul 04, 2011 10:12    Post subject: Reply with quote
Salut Oaxley,

C'est exactement ça que je cherche à faire. Pour mes adresses je suis en 192.168.1.x sur le routeur dsl et 192.168.11.x sur le routeur buffalo (whr-g54s).
Oaxley
DD-WRT User


Joined: 19 Jul 2007
Posts: 105

PostPosted: Mon Jul 04, 2011 10:44    Post subject: Fw avec iptables Reply with quote
OK,

Le mieux est de te familiariser avec iptables.
Je pense que si tuas dd-wrt sur ton Buffalo, tu peux a minima aller ds le tab "Administration-> Shell"
Si c'est le cas, tu auras un espace ds lequele tu pourras entrer les commandes.
Ds un premier temps, fais un test avec un PC connecté en WiFi et pour lequel tu auras noté l'@IP (pour l'exemple 192.168.11.100)
avec qque chose du type
iptables -t filter -A OUTPUT -s 192.168.11.100 -d 192.168.1.0/24 -j DROP

tu indiques au routeur Buffalo que les flux (tt protocole) qui viennent de 192.168.11.100 et qui sont a destination du rezo 192.168.1.0 seront droppés (ils vont direct aux oubliettes)

Attention !
L'ordre dans un fichier IPTABLES est tres important car pour une chaine (ici OUTPUT) donnée, les regles sont executées ligne apres ligne.

Le mieux serait que tu nous indique le resultat de la commande:
iptables -L OUTPUT -nv (tu peus enlever le v final si pb)

l'otion -A d'une cmd iptables signifie append, mettre a la fin... ce qui n'est aps forcement ideal.
un iptables -I numero_de_ligne pourrait etre bcp plus opportun.

Oaxley
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Mon Jul 04, 2011 10:57    Post subject: Re: Fw avec iptables Reply with quote
Oaxley wrote:

iptables -t filter -A OUTPUT -s 192.168.11.100 -d 192.168.1.0/24 -j DROP


Attention, en bloquant tous le subnet, tu bloques du meme coup le transit vers internet.

Idéalement il faudrait juste créer une règle par appareil a cacher du style:
Code:
iptables -t filter -A OUTPUT -s 192.168.11.100 -d 192.168.1.*/32 -j DROP


en remplaçant l'* par l'octet qui va bien

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
djsmoye
DD-WRT Novice


Joined: 06 May 2007
Posts: 5

PostPosted: Mon Jul 04, 2011 11:34    Post subject: Reply with quote
Je vous remercie pour vos réponses. Comme je suis un peu une bille dans ce domaine est-ce qu'il y aurait moyen de reprendre la configuration d'une borne accton (ou Fonera 2100) flashée avec open mesh? Ce firmware gère d'office l'isolation du lan telle que je l'aimerais.
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Mon Jul 04, 2011 12:44    Post subject: Reply with quote
Pour la reprise openmesh, les règles firewall du type de celle que nou vennons de te donner sont masqué par le dashboard (elles sont généré automatiquement par ce dernier).

donc il te faudrait deux regles (a supposer que ton wrt est comme adresse 192.168.1.1):

Code:
iptables -t filter -A OUTPUT -s 192.168.11.0/24 -d 192.168.1.1/32 -j ACCEPT;
iptables -t filter -A OUTPUT -s 192.168.11.0/24 -d 192.168.1.0/24 -j DROP; 


Ainsi tu accordes l'accès au routeur WRT (indispensable pour l'accès au net) et tu bloques toutes les autres ip du lan du wrt

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
Oaxley
DD-WRT User


Joined: 19 Jul 2007
Posts: 105

PostPosted: Mon Jul 04, 2011 13:07    Post subject: FW Reply with quote
Tres bonne remarque, YzY

En attendant attention a l'ordre ds ton fichier iptables.

Le meiux serait de soumettre l'actuel pour evaluation si tu veux un peu d'aide.

A +
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Matériels à base de Broadcom All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum