Problema firewall

[Ciospy]

ne ho gia parlato in un'altro topic aperto in un'altra discussione, ma non sono riuscito a fare nulla
ho questo problema....ho delle ns loco m2 come client, e dovrei bloccare l'accesso alla rete: dall'ap che fornisce la connessione alle ns loco m2, fino al router principale....ho smanettato nel fw della nanostation AP...ma senza risolvere nulla
grazie in anticipo

[redfive]

Non ho ben capito (saranno l'ora e..l'età !!) la configurazione (client ? router ? sta ? ) , comunque , questa è una snap relativa ad una PicoM2 in configurazione Ap/bridge



Fà parte della rete 192.168.192.0/27 , il def.gw/e primary dns è 192.168.192.1.... la prima regola permtte il forward tra le interfacce ath0(WLAN0) ed eth0(LAN0) delle query dns (udp 53) di pacchetti con un source ip address appartenente alla rete 192.168.192.0/27 e diretti a 192.168.192.1 , la seconda , terza e quarta regola droppano tutto ciò che entra dalla ath0(WLAN0) ed ha come destinazione una qualsiasi rete privata. Tutto il resto (quindi tutto lo spazio di indirizzamento pubblico), passa , essendo la default policy ACCEPT



Ciao

[Ciospy]

grazie mille per la dritta.....forse mi sono spiegato un pò a casaccio.....praticamente ho delle ns loco m2 che sono bridge station con ip statico e una ns loco m2 è in router station sempre con ip statico...io vorrei semmplicemente bloccare tutta la rete (192.168.1.x) in modo che i client non riescano entrare per esempio nell'ip delle cpe e degli apparati sempre in rete 192.168.1.x .....tutti i client sono divisi in altre reti con router wifi a parte la ns loco m2 che è in router station, per esempio 192.168.2.x ... 192.168.0.x ecc ecc.....quello che a me interessa è solo bloccare tutta la rete 192.168.1.x dove ho tutti gli apparati anche di casa... grazie mille

[Ciospy]

nessuno che mi aiuta?

[thema3x]

Ciao,

mi serve un disegnino, cosi non riesco a capire la topologia di rete.

Detto questo, idealmente la soluzione è quella di RED, ma non è detto che con un disegnino riusciamo a trovare un workaround magari non propriamente corretto, ma funzionale.

Facci saxe

Ciao

TheMa3x

[Ciospy]

in allegato ho messo uno schizzo di come è composta la rete.......quello che vorrei fare è che tutte le reti fuori dalla 192.168.1.1 non possano appunto entrare nella rete 192.168.1.x

[thema3x]

Ciao,

sui router wi-fi e sulla STA-router ( che sono i punti di accesso alle .1 ) fai una regola dove blocchi tutte le porte tranne quelle che ti servono ( HTTP 80, HTTPS 443; DNS 53; NTP 123; e quelle se vuoi della posta POP,POPS,SMTP,SMTPS,IMAP,IMAPS ).

A questo punto il ping verso la 1 viene negato, cosi come l' accesso a risorse di rete condivise eventualmente sulla .1.

Sposti le pagine di amministrazione delle antenne su una porta non standard ( ed 10443 ) e fai una regola ad hoc eventualmente sui mac che ti serve abilitare nella rete routata che possano far accedere a quella porta.

Ciao

TheMa3x

[Ciospy]

grazie mille per la risposta....ma non c'è modo di fare delle regole nelle nanostation ap in modo che non ho problemi se un domani aggiungo un'altra station?

[Ciospy]

grazie mille lo stesso thema ho provato a fare una regola, praticamente ho messo ip sorgente quello della rete dei client, esempio 192.168.4.0/24 e destinazione 192.168.1.0/24 action drop almeno sembra funzionare....si naviga tranquillamente però tutte le reti fuori dalla 192.168.1.0/24 non possono accedere....che ne pensi?

[thema3x]

Ci può stare ... pensavo cosi ti bloccasse la navigazione, ma se naviga allora tutto è ok !

Ciao

TheMa3x