Wlan vom Lan mit IPtables trennen

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Broadcom SoC basierende Hardware
Author Message
franks
DD-WRT Novice


Joined: 28 Jul 2008
Posts: 33

PostPosted: Mon Dec 08, 2008 1:01    Post subject: Wlan vom Lan mit IPtables trennen Reply with quote
hallo,
ich versuche seit längerem mein wlan vom lan zu trennen. soweit habe ich folgende zeilen gefunden:

iptables -A FORWARD -i br0 -o vlan0 -j REJECT
iptables -I FORWARD 1 -i br0 -o vlan0 -j REJECT

so wei es ausschaut wird alles geblockt.
kann mir jemand weiterhelfen?



ich habe folgende netzwerk-interfaces:
br0 Link encap:Ethernet HWaddr 00:1C:10:1C:73:9B
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:27099 errors:0 dropped:0 overruns:0 frame:0
TX packets:25642 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2858961 (2.7 MiB) TX bytes:19745880 (18.8 MiB)
br0:0 Link encap:Ethernet HWaddr 00:1C:10:1C:73:9B
inet addr:169.254.255.1 Bcast:169.254.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
eth0 Link encap:Ethernet HWaddr 00:1C:10:1C:73:9B
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:35665 errors:0 dropped:0 overruns:0 frame:0
TX packets:33233 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10011416 (9.5 MiB) TX bytes:20899525 (19.9 MiB)
Interrupt:4
eth1 Link encap:Ethernet HWaddr 00:1C:10:1C:73:9D
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3521 errors:0 dropped:0 overruns:0 frame:5844
TX packets:14671 errors:7073 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:301210 (294.1 KiB) TX bytes:1908715 (1.8 MiB)
Interrupt:2 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:61 errors:0 dropped:0 overruns:0 frame:0
TX packets:61 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6294 (6.1 KiB) TX bytes:6294 (6.1 KiB)
vlan0 Link encap:Ethernet HWaddr 00:1C:10:1C:73:9B
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:26451 errors:0 dropped:0 overruns:0 frame:0
TX packets:24644 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2866433 (2.7 MiB) TX bytes:19393143 (18.4 MiB)
vlan1 Link encap:Ethernet HWaddr 00:1C:10:1C:73:9C
inet addr:91.114.96.66 Bcast:91.114.96.67 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9205 errors:0 dropped:0 overruns:0 frame:0
TX packets:8589 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6502439 (6.2 MiB) TX bytes:1353685 (1.2 MiB)
wl0.1 Link encap:Ethernet HWaddr 02:1C:10:1C:73:9E
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Sponsor
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Mon Dec 08, 2008 7:31    Post subject: Reply with quote
Die beiden Regeln sind so ja mal Quatsch!
1: Nimm erstmal das WLAN aus der Bridge.
2: Filter dann mit den Paketfluss per Iptables.

Eine Anleitung findest du hier
http://www.dd-wrt.com/wiki/index.php/V24:_WLAN_separate_from_LAN%2C_with_independent_DHCP

diese Regel verbietet den Paketfluss aus dem WLAN in das LAN
iptables -I FORWARD 1 -i eth1 -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j DROP

diese Regel verbietet den Paketfluss aus dem LAN in das WLAN
iptables -I FORWARD 2 -i br0 -d $(nvram get eth1_ipaddr)/$(nvram get eth1_netmask) -j DROP

die variablen für das ziel Subnetz (-d $(nvram….) kannst du auch durch die direkte Angabe des Ziel Subnetzes ersetzen.

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
franks
DD-WRT Novice


Joined: 28 Jul 2008
Posts: 33

PostPosted: Tue Dec 09, 2008 13:50    Post subject: Reply with quote
ich habe diese anleitung mehrfach ausprobiert. bei mir funktioniert sie nicht. gibt es irgend wo noch eine deutsche anleitung?

ich habe die spezial edition bei mir installiert damit ich die bandbreite einschränken kann.
kann das der grund dafür sein?

lg

frank
cybero2912
DD-WRT Guru


Joined: 18 Jun 2006
Posts: 1190
Location: Berlin

PostPosted: Tue Dec 09, 2008 14:27    Post subject: Reply with quote
franks wrote:
ich habe die spezial edition bei mir installiert

v23 oder v24 ?
evtl. funzt das so ja nur unter v24
franks
DD-WRT Novice


Joined: 28 Jul 2008
Posts: 33

PostPosted: Tue Dec 09, 2008 17:18    Post subject: Reply with quote
ich habe folgende firmware:
Firmware: DD-WRT v24-sp1 (07/26/0Cool std-special

die beschreibung passt nicht ganz zusammen.
z.b. ist die ap-isulation nicht unter netwerke zu finden sondern unter wlan - basis einstellungen.

ich bitte um hilfe.
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Tue Dec 09, 2008 18:57    Post subject: Reply with quote
Quote:
z.b. ist die ap-isulation nicht unter netwerke

Nirgendwo Steht das die da zu finden ist, normaler weise ist sie unter den erweiterten WLAN-Einstellungen zu finden (bei der nicht Spezial-Version)!
Aber jetzt lass mal die AP Isolation aus dem Spiel die Option hat damit erst mal nichts zutun das bewirkt nur das sich WLAN Clients untereinander nicht sehen.

So nochmal zum mitschreiben und häng dich nicht unbedingt an der Anleitung auf es ist gut möglich das die Entsprechenden Optionen in der Spezialversion wo anders sind, das spielt aber keine Rolle den das Prinzip ist das gleiche!

Als erstes nimmst du das WLAN aus der Bridge und weist ihn dann ein eigenes Subnetz zu in dem du die entsprechende IP einstellst
z.B. IP= 192.168.2.1 Subnetzmaske= 255.255.255.0

jetzt Speicherst du alles und startest den Router mal neu,
nach dem Neustart schaust du mal ob du dich mit dem WLAN noch verbinden kannst, sollte das der Fall sein Probierst du mal ob du noch auf einen LAN Client zuzugreifen kannst.
Wenn das noch möglich ist sehen wir weiter und schauen nach was für FW Regeln nötig sind um das zu unterbinden.

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
franks
DD-WRT Novice


Joined: 28 Jul 2008
Posts: 33

PostPosted: Thu Dec 11, 2008 15:04    Post subject: Reply with quote
wlan - basic einstellungen
dort habe ich im virtuellen interface ein wlan aus der bridge genommen mit den der ip 192.168.2.1 und subnet 255.255.255.0. zudem habe ich die ap-isolation eingeschalten.

setup - netzwerke
dort ist beim portsetup wl0.1 getrennt mit der ip-adresse 192.168.2.1 und subnet 255.255.255.0

ich habe einee Multiple DHCP Server hinzugefügt auf wl0.1
nun bekommt der client über das wlan folgende einstellung per dhcp zugewiesen:
192.168.2.112
255.255.255.0
192.168.2.1

der zugriff ins internet ist nun nicht mehr möglich.
der zugriff auf das netzwerk ist nicht mehr möglich.

was muss ich noch machen damit ich ins internet komme?
franks
DD-WRT Novice


Joined: 28 Jul 2008
Posts: 33

PostPosted: Sat Dec 13, 2008 16:18    Post subject: Reply with quote
soweit funktioniert das internet und das es ist nicht mehr möglich auf die anderen computern zuzugreifen.

danke soweit

nun funktioniert die bandbreitenbegrenzung der spezial version aber nicht. an was kann das liegen?
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Sat Dec 13, 2008 17:21    Post subject: Reply with quote
So habe ich das Gerade mal gemacht
(Firmware: DD-WRT v24-sp2 (12/13/08 ) std)
Und was soll ich sagen es geht wunder bar wenn man mal davon absieht das der zusätzliche DHCP-Server ein wenig rum muckt deswegen hab ich den DHCPd ausgestellt und überlasse Dnsmasq die Arbeit.

Schritt 1
Unter Wireless -> Basic Settings das WLAN auf Unbridged setzen und ihm eine IP-Adresse sowie Subnetzmaske verpassen. z.B. 192.168.2.1 255.255.255.0
Schritt 2 geht bei mir so nicht vernünftig (deswegen schritt 2.1)

Schritt 2
Unter Setup -> Networking -> DHCPD einen zusätzlichen DHCP-Server erstellen und entsprechend auf eth1 konfigurieren.
Wie gesagt weil das bei mir nicht so recht wollte hab ich das über dnsmasq gelöst.

Schritt 2.1
Dazu unter Setup -> Network Address Server Settings den DHCP Server auf Disable setzen und etwas weiter unten die Haken bei
Use DNSMasq for DHCP, Use DNSMasq for DNS und DHCP-Authoritative setzen
Und unter Services -> DNSMasq beide Optionen auf Enable setzen sowie folgende Zeilen in die Additional DNSMasq Options eintragen
Code:
interface=br0
interface=eth1
dhcp-range=br0,192.168.1.50,192.168.1.100,255.255.255.0,12h
dhcp-option=br0,6,192.168.1.1,
dhcp-option=br0,3,192.168.1.1
dhcp-option=eth1,3,192.168.2.1
dhcp-option=eth1,6,192.168.2.1,
dhcp-range=eth1,192.168.2.100,192.168.2.249,255.255.255.0,12h
expand-hosts
no-hosts
addn-hosts=/etc/hosts

so ab nun arbeitet dnsmasq als DHCP-Server und verteilt lustig die Adressen.


Schritt 3
Zu guter letzt noch unter Administration -> Commands alles Notwendige eintragen um die Kommunikation beider netze zu unterbinden dazu folgende Zeilen in die Command Shell eintragen und als Firewall Speichern.
Code:

#Verbiete WLAN--LAN
iptables -I FORWARD 1 -i eth1 -d 192.168.1.0/24 -j DROP
#Verbiete LAN--WLAN
iptables -I FORWARD 2 -i br0 -d 192.168.2.0/24 -j DROP

und das war es auch schon nach jedem Schritt nicht vergessen Apply-Settings zu drücken und zum Schluss einmal Speichern und den Router neu Starten!
Zur Bandbreitenbegrenzung kann ich nichts sagen weil ich nicht die Sprzial Version habe.

_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
franks
DD-WRT Novice


Joined: 28 Jul 2008
Posts: 33

PostPosted: Mon Nov 05, 2012 23:48    Post subject: Reply with quote
ich habe versucht einen neuen router mit hilfe deiner anleitung zu insttallieren. ich erhalte eine ip adresse jedoch habe ich keinen zugriff ins internt.

muss ich etwas anderst machen wenn der router nicht den wan port nutzt sondern über einen anderen router sich ins internet verbindet?
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Broadcom SoC basierende Hardware All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum