[ mckrsta @ 25.12.2011. 19:14 ] @
|
| Eh ovako...
Na rb433ah imam wlan1-sector i ether 1 u bridge, i bridge ima ip adresu koji je def. gateway korisnicima, korisnici se kace na pppoe i dobijaju sve parametre koji im trebaju za mrezu.
Naravno na bazu se konektuju samo korisnici koji imaju pristup.
E sad, predpostavljam da kada bi korisnik koji ima pristup setovao staticku IP (ako prethodno sazna sve parametre) zaobisao bi pppoe ogranicenja i imao bi pristup internetu po vecim brzinama....
tu su mi potrebna resenja:
1. Da napravim simple queue koje ce da dozvoli 1kb/1kb, pritom da ima neka skripta koja bi taj queue uvek stavljala na dno simple queue liste, pa ako zele da menjaju ip neka rade to (znaci treba mi script)
2. Da nekako vezem da sa tog i tog AP moze da se vidi samo odredjena IP (pritom je arp iskljucen jer nema svrhe u PPPoE)
3. Da napravim firewall filtere za svaku pojedinacnu ip sa akcijom accept :(((((((
4. Neko vase resenje ili jos bolje da sam negde nesto zaboravio da ubacim podesim :)
hvala unapred... |
[ zivanicd @ 25.12.2011. 19:59 ] @
1. Stavi sve korisnike na access-listu
2. Iskljuci default authenticate na baznoj stanici
3. Vezi MAC za svaki IP (static-arp)
4. Opciono: stavi da ti je na APu ARP - reply only
Sad kad procitam tvoj post vidim da si sam sebi odgovorio :)
[ mckrsta @ 25.12.2011. 20:12 ] @
moje neko misljenje je cak i da samo iskljucim arp na fizickom wlan da ce resiti taj problem...
[ Predrag Supurovic @ 26.12.2011. 07:53 ] @
Ako vec koristis pppoe onda isključi IP na interfejsu preko koga korisnici dolaze na pppoe. Nepotreban je. Tako ćeš rešiti sve probleme sa zaobilaženjem pppoe.
[ mckrsta @ 26.12.2011. 08:58 ] @
to sam dobio kao odgovor i od MT, sada sam uradio sledece, napravio jedan bridge bez portova, tako da je loopback interface, i on ima def.gateway za korisnike, na wlan-clients sam prebacio pppoe server i to mu je to... valjda... u svakom slucaju iskljuceni su i ARP
[ BigFoot @ 26.12.2011. 10:54 ] @
Isključivanje IP sa interfejsa na koji se korisnici kače je dobro samo za profesionalne namene, tipa provajdera, kada je svaki korisnik unapred poznat, kada mu se da uputstvo za povezivanje ili odgovarajući modem. Za ostale slobodne mreže, IP mora da postoji zbog raznolikosti servisa koje takve mreže pružaju, kao i zbog pristupa novih članova. Uobičajeno je da se na mrežu i bez PPPoE može zakačiti bilo ko, a onda se predstaviti i uputiti ga dalje.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.