[ Mile-Lile @ 29.06.2013. 21:14 ] @
Imam jedan problem pa bih molio ljude dobre volje i one koji poznaju ovu tematiku da pomognu. Da napomenem da ceo život koristim MS tako da sam baš "newb" što se tiče Linux-a... Naime, imam ruter u koji je "upucan" ddwrt i to revizija koja trenutno koriti iptables v1.3.7. Imam dve wi-fi mreže. Jedna, koja je zaštićena i njen interfejs ima oznaku ath0, i druga (virtuelna - VAP) koja je nezaštićena tj. otvorena i koja služi za goste. Ima oznaku interfejsa ath0.1. Na tu drugu se povezuju gosti koji dolaze kod nas a i komšije po potrebi. Uglavnom su to androidi i po neki laptop kad neko dođe. ath0 je u opsegu 192.168.2.0/24 ath0.1 je u opsegu 192.168.88.0/24 QoS je podešen tako da 192.168.2.0/24 ima Exemp prioritet a 192.168.88.0/24 Bulk. Bridging table izgelda ovako: Bridge Name STP enabled Interfaces br0 no vlan0 ath0 br1 yes ath0.1 Sve je funkcionisalo savršeno do pre neki dan:) U iptables sam uradio sledeće: #dozvolio br1 (wifi za goste) pristup DNS i DHCP iptables -I INPUT -i br1 -m state --state NEW -j DROP iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT #ograničio broj tcp kao i svih ne tcp konekcija (ovo može i sa PREROUTING ali onda prvo povezivanje nekog klijenta na mrežu traje 20-ak sekundi?) iptables -I INPUT -i br1 -p tcp --syn -m limit --limit-burst 150 -j DROP iptables -I INPUT -i br1 -p ! tcp -m limit --limit-burst 100 -j DROP iptables -I OUTPUT -o br1 -p tcp --syn -m limit --limit-burst 150 -j DROP iptables -I OUTPUT -o br1 -p ! tcp -m limit --limit-burst 100 -j DROP iptables -I FORWARD -i br1 -p tcp --syn -m limit --limit-burst 150 -j DROP iptables -I FORWARD -i br1 -p ! tcp -m limit --limit-burst 100 -j DROP #zabranio gostima da pristupaju mojoj mreži iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP #zabranio gostima da pristupaju WAN subnetu iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP #zabranio gostima da pristupaju mom ADSL modemu koji je na adresi 192.168.1.1 iptables -I FORWARD -i br1 -d 192.168.1.1 -j DROP #Zamaskirao da ima više mašina povezanih na ruter, već da izgleda da je win mašina direktno povezana na modem iptables -t mangle -I POSTROUTING -o `get_wanface` -j TTL --ttl-set 128 link je 6/1 i sve je ferceralo besprekorno. Problem je nastao kada je jedan komšija počeo da prži po torentima. Kako je moj kućni subnet Exemp nije bilo problema za mene, ali kada ja nisam na mreži zauzeo je celokupan link pa su drugi počeli da se slikaju. Za početak sam blokirao njegovu MAC dok ne nađem rešenje. Rešenje sam vrlo brzo našao. ddwrt koristi ipp2p modul za presretanje p2p saobraćaja kao i l7. Testirao sam ga i radi savršeno. Čak radi i kada se uključi enkripcija. VPN passtrough sam blokirao. Moj problem je što želim da blokiram p2p saobraćaj samo za gostinsku mrežu ath0.1 Za blokdau celokupnog p2p saobraćaja, komanda u iptables bi trebalo da izgleda ovako: iptables -I FORWARD -m ipp2p --ipp2p -j DROP Dakle moje pitanje je kako da blokiram p2p samo za br1? probao sam sa: iptables -I FORWARD -i br1 -m ipp2p --ipp2p -j DROP ali onda blokira celokupan saobraćaj probao sam i sa: iptables -I FORWARD -m iprange --src-range 192.168.88.100-192.168.88.150 -m ipp2p --ipp2p -j DROP ali opet isto... ako neko ima predlog samo nek izvoli.... |