Funzioni particolare di prodotti ubiquiti

[aquila]

Salve, volevo aprire questo topic su un approfondimento delle funzionalità dei prodotti ubiquiti per chi, come me, si avvicina a questo marchio e vorrebbe capirne tutte le funzionalità, attualmente sto cercando di capire proprio a livello pratico a cosa potrebbe servire la funzione "Block management access:" in quali casi si applica e a cosa serve oppure nello specifio cosa bloccano i protocolli NAT: "SIP" "PPTP" "FTP" "RTSP" oppure la funzione "UPnP" o di "Multicast Routing:". Grazie a tutti

[thema3x]

Ciao,

c'è di tutto un po..

"Block management access": questo è semplice, blocca sull' interfaccia radio l' accesso alla pagina di gestione del dispositivo. Quando lo usi ? Quando non vuoi chi i client radio possano cmq a priori entrare nella conf del dispositivo.

cosa bloccano i protocolli NAT: "SIP" "PPTP" "FTP" "RTSP" --> il blocco è applicato allo specifico protocollo da parte dell' antenna. I protocolli --> wikipedia ...


oppure la funzione "UPnP" o di "Multicast Routing:" wikipedia anche qui, sono protocolli specifici che fanno una funzione chiara. L' antenna permette o meno il traffico dei pacchetti dello specifico protocollo.

OK?

Ciao

TheMa3x

[aquila]

Salve, volevo sapere se su una nanostation client impostata come router, sarebbe possibile far navigare solo alcuni PC e bloccarne altri, mi spiego meglio: siccome presto la connessione ad un paio di amici non vorrei incappare nel fatto che la cedano ad altri o ancor peggio vi colleghino altri router e sistemi di diffusione non legali tipo sky dreambox ecc, si può studiare una regola firewall adeguata o bloccare i MAC che non autorizzo alla connessione? ho provato a fare di tutto ma non ci riesco vorrei fare questo tramite la NSM5 client di cui sono l'unico a conoscere la password per entrarci, grazie

[thema3x]

Ciao,

puoi fare una regola nel firewall dove blocchi tutti gli IP tranne quelli che a mano ( in modalità statica quindi ) assegni alle macchine dei due tuoi amici.

Se la NS avesse un dhcp server con assegnazione statica in base al mac address non avevi menate, ma non avendolo devi per forza disattivare il DHCP e assegnare a mano ai pc che vuoi fare navigare degli IP in accordo alla regola del firewall dove fai passare solo ciò che ti serve.

Abbastanza funzionale anche perchè cmq se autorizzi due IP, anche se i tuoi amici danno la conf a terzi, solo due ip potranno sempre navigare contemporaneamente.

Puoi anche valutare di assegnare un DHCP server alla rete, in modo da evitare la conf manuale; sconsiglio però perchè di solito dovrebbe essere anche il gateway della rete ....

In alternativa, puoi valutare un mini software hotspot che ti gestisce dhcp, mac e login su http.

Ciao

TheMa3x

[aquila]

Grazie mille, ma si potrebbe avere un esempio della regola da utilizzare? E poi se io assegno due indirizzi ip statici fissi, ad esempio consento 192.168.2.34 per un PC e 192.168.2.35 per un NB, un utente potrebbe assegnare manualmente al dreambox un indirizzo e farlo connettere ugualmente facendo finta che sia un pc? Grazie

[thema3x]

" un utente potrebbe assegnare manualmente al dreambox un indirizzo e farlo connettere ugualmente facendo finta che sia un pc? "

Si ovviamente si, in quel caso xo il NB sarà offline fino a che l' altro apparato sarà online, se no andrebbero in conflitto di IP.

Con un DHCP server basato su MAC, invece, associ l' IP al MAC, quindi se il MAC non è autorizzato l' ip non sarà tra quelli permessi e il gioco è fatto. Ti serve xo un DHCP server nella rete che abbia quella funzionalità ( assegnazione IP statica in base al mac ).

La regola è:

DROP LAN IP ( NOT ) X.X.X.X/31 0.0.0.0/0

In pratica dici blocca sulla lan tutti gli ip diversi da quello specificato e il suo contiguo verso tutto.

Dovrebbe funzionare, è a memoria.

Ciao

TheMa3x

[aquila]

Grazie mille, un sistema col mac lo preferisco mi sembra più sicuro, ho pensato di mettere un server proxy zeroshell ma non riesco a creare la regola di scartare tutti i mac non autorizzati! E fare una whitelist, e non capisco inoltre se è meglio configurare la nanostation client come router con abilitato il proxy oppure configurata come bridge, ho fatto delle prove ma lo zeroshell non mi vede i pc dietro la nanostation client, non so cosa sbaglio, ma pur riuscendo nel mio intento penso che un mac può essere clonato da un qualsiasi router e essere messo a disposizione di tanti pc senza che me ne accorga nemmeno dalla mia postazione con zeroshell, cosa mi consiglia! Grazie

[thema3x]

..No Way...

Ciao

TheMa3x