[Fli4l_dev] Gäste WLAN absichern bzw. abtrennen
Peter Schiefer
newsgroup at lan4me.de
Mi Nov 23 19:45:04 CET 2016
Hallo Boris,
Am Wed, 23 Nov 2016 17:53:22 +0100 schrieb B. Sprenger:
> Dazu müsste ich also auf dem fli4l eine eth0.3 und eth0.5 anlegen (VLAN3
> für "normales Netz" und VLAN5 für die Gäste)
>
> Kann ich das dann so schreiben?
> IP_NET[1]='172.17.0.1/16' # IP address of your n'th ethernet card
> {
> DEV='eth0.3'
hier würde ich ergänzen:
COMMENT='normales_Netz'
> }
>
> IP_NET[2]='172.29.0.1/16' # IP address of your n'th ethernet card
> {
> DEV='eth0.5'
COMMENT='Gäste'
> }
bei fli4l 4.0.0 (unserer Entwicklerversion) kannst Du das so schreiben -
damit dir aber die vlan-devices zur Verfügung stehen must du in der config
des Pakees Advanced_networking die vlans definieren:
OPT_VLAN_DEV='yes' # activate VLAN 802.1Q, yes or no
VLAN_DEV_N='2' # number of VLAN devices
VLAN_DEV_1_DEV='eth0'
VLAN_DEV_1_VID='5' # eth0.5 -> Gäste
VLAN_DEV_2_DEV='eth0'
VLAN_DEV_2_VID='3' # eth0.3 -> normales Netz
>
> In die INPUT-Chain kommt dann folgendes?
> PF_INPUT[]='IP_NET_2 ACCEPT' # allow all hosts in the local network to
> # access the router
>
Damit können dann Gäste auf alle Dienste des fli4l zugreifen
wenn Du das nicht willst - also nur DNS und DHCP solltes du diese Regel
weglassen.
DHCP wird in der INPUT-Chain geöffnet, wenn bei der Range-Definition im
Paket dns_dhcp die Referenz zum Netz angegeben ist -> NET='IP_NET_2'
DNS wird in der INPUT-Chai geöffnet für das Gäste-LAN wenn du das folgende
setzt -> DNS_LISTEN[]='IP_NET_2_IPADDR'
> FORWARD bleibt dann leer?
> bzw. nur folgender Eintrag:
> PF_FORWARD[]='IP_NET_1 ACCEPT
und wie sollen Pakete vom Gäste LAN geroutet werden?
mit
PF_FORWARD[]='if:any:{Name des Circuits} ACCEPT'
erlaubst Du, das Routing von jedem Quellnetz zum Internet möglich wird.
>
> Und bei POSTROUTING muss vermutlich folgender Eintrag getätigt werden?
> PF_POSTROUTING[]='IP_NET_2 MASQUERADE'
PF_POSTROUTING[]='if:any:{Name des Circuit} MASQUERADE'
würde ich eher nehmen, damit auch das normale Netz ins Internet kann
> Natürlich muss dann in der dns_dhcp.txt noch der DHCP-Server aktiviert
> werden.
korrekt
> Vermutlich muss auch auf den Switchen VLAN aktiviert und konfiguriert
> werden.
wozu - an eth0 liegen die getaggten Pakete an - diese kommen doch zu deinen
AccessPoints und werden dort an die bridge zur jeweiligen ESSID gebunden
> Wären das die Eingriffe in den Konfigurationsdateien auf dem fli4l, oder
> habe ich etwas vergessen bzw. falsch verstanden?
siehe meine Kommentare
Gruß Peter
Mehr Informationen über die Mailingliste Fli4l_dev