Regole firewall

[margiatec]

salvve a tutti,

Io sono su una station e mi interessa non dare accesso ai miei pc bloccando tutti gli ip che tentano di entrarci tramite il mio apparato ma nel contempo naturalmente devo poter navigare ed accedere sia alla station che al AP WDS che al router.
Questo per salvaguarare materiale condiviso nei miei pc.

Il mio pc e' 192.168.1.10 la Station e' 192.168.1.1 , l'AP wds e' 192.168.1.0 e il router collegato all'AP WS e' 192.168.2.

Che regola devo fare per ottenere lo scopo? ne ho provate tantissime senza l'esito voluto ed ho fatto pure danno dovendolo resettare per poter riaccedere alla station
Grazie!

[thema3x]

Ciao,

sulla STA:

WLAN
SOUREC NOT
IP ROUTER
DESTINATION
IP PC

In questo modo dici sulla sta su tutte le richieste in ingresso lato wlan: per tutti gli ip diversi dal ip del router che tentano di accedere alla lan è negata la possibilità di raggiungere l ip del pc

K?

Ciao

TheMa3x

[margiatec]

ciao

All'inzio devo mettere DROP gusto?

Se volessi consentire anche ad altre macchine oltre che al router l'accesso al mio pc, devo solo ricreare la stessa regola cambiandogli l'ip del router con la macchina che voglio che acceda?
In questo modo funzionerebbero tutte o andrebbero in conflitto?

[margiatec]

se intendi cosi' non navigo !!

http://gyazo.com/b57afc5d91f9d5403e394342f47e6f13

[redfive]

Con la regola che hai impostato , di fatto droppi tutti i pacchetti con source address diverso da quello del router diretti al tuo pc , il tuo pc quindi non può navigare , ma nemmeno connettersi all' AP ,solo al router , mentre per gli eventuali altri pc eventualmente connessi alla STA non è cambiato niente rispetto a prima . Nella GUI del firewall , non ho visto niente riferito al parametro -m state , il che mi fà supporre che sia un semplice packet filter , non un SPI , ed anche guardando qui
http://wiki.ubnt.com/Using_the_Firewall
non ho trovato in effetti niente che faccia pensare il contrario.
Se è cosi' ( tieni conto che il FW sugli ubiquiti non lo ho mai utilizzato eh ... ) , potresti specificare delle regole per permettere il "ritorno" di pacchetti di specifiche applicazioni , ( es. spt 80, 443,22,23,25,110...) ma lo sconsiglio , non è per niente flessibile ne scalabile.
Di solito , anche i router "da scaffale" hanno un firewall SPI , la soluzione piu' economica sarebbe attivare quello , giusto per avere un minimo di protezione "internet side"...altrimenti , senza andare su prodotti commerciali , usare un appliance tipo zeroshell , pfsense...
ciao

[margiatec]

ciao,

mi sembra di capire che non c'e' verso di bloccare l'accesso a tutti ad eccezzione di quello che si vuole potendo navigare

[redfive]

Ma la topologia della tua rete com'è ? tipo ..(site A) router , switch, pc collegati allo switch , AP collegato allo switch , link wifi verso la STA (site B) , switch , altri pc.... vuoi che eventualmente i pc di site A "vedano" in layer 2 ip pc di site B e viceversa ? vorresti 2 reti separate con il solo accesso ad internet condiviso ?

[margiatec]

vorrei che alcuni pc o macchine possano comunicare nei due lati e che altre che condividono roba privata non siano raggiungibili.

[elettrovox]

ciao perche non fai una vpn e togli il problema

[elettrovox]

oppure crei delle vlan che si fanno un bridge tra loro ho dei tunnel .......