Precedente :: Successivo |
Autore |
Messaggio |
ASVP
Registrato: 21/05/08 12:58 Messaggi: 134
|
Inviato: Lun Apr 06, 2009 2:38 pm Oggetto: Wireless Isolation |
|
|
Ciao a tutti
Utilizzando ZS come Access Point (con scheda wireless con chipset supportato dai MadWifi) i vari pc client si vedono tra di loro ?
E' possibile specificare l'opzione "wireless isolation" (sul mio vecchio netgear si chiamava così), vale a dire non far vedere tra loro i pc che si collegano a ZS.
Questo per evitare che utenti più smaliziati entrino nel pc di altri utenti meno furbi (ad esempio quelli che hanno la psw di administrator vuota).
Qualora non fosse prevista un opzione esplicita è cmq possibile riuscire nella cosa con una configurazione manuale dei vari sevizi di ZS ? Se si avete qualche link di riferimento ?
grazie per l'attenzione _________________ www.asvp.it |
|
Top |
|
 |
svenny
Registrato: 18/09/08 12:11 Messaggi: 245
|
Inviato: Lun Apr 06, 2009 3:53 pm Oggetto: |
|
|
Credo basti consentire l'accesso ai client verso il gateway ed inibire l'accesso verso il resto della rete, configurando adeguatamente il firewall di ZS.
Ciao |
|
Top |
|
 |
ASVP
Registrato: 21/05/08 12:58 Messaggi: 134
|
Inviato: Lun Apr 06, 2009 6:21 pm Oggetto: |
|
|
quindi se la sorgente e' un ip interno la destinazione non deve essere anch'esso un ip interno ... o una regola simile ?
grazie mille ! _________________ www.asvp.it |
|
Top |
|
 |
svenny
Registrato: 18/09/08 12:11 Messaggi: 245
|
Inviato: Lun Apr 06, 2009 6:38 pm Oggetto: |
|
|
Nella catena di Input del firewall dovrai permettere l'accesso alla rete dei client, mentre nella catena di Forward dovrai bloccare l'accesso alla rete dei client. In questo modo i client potranno utilizzare i servizi di ZS, ma non potranno vedersi tra loro. Se hai un servizio nella rete dei client, a cui questi dovranno avere accesso ti basta inserire una regola, sempre nella catena di Forward, che consenta tale accesso. Naturalmente tale regola dovrà precedere quella che nega l'accesso ai client.
Ciao |
|
Top |
|
 |
ASVP
Registrato: 21/05/08 12:58 Messaggi: 134
|
Inviato: Mar Apr 07, 2009 12:03 pm Oggetto: |
|
|
ottimo grazie mille ! _________________ www.asvp.it |
|
Top |
|
 |
htc
Registrato: 09/12/06 18:40 Messaggi: 139
|
Inviato: Sab Apr 11, 2009 11:17 am Oggetto: |
|
|
ciao svenny
potresti essere più specifico? magari con qualche esempio ! sai non sono un grande esperto di firewall
grazie |
|
Top |
|
 |
htc
Registrato: 09/12/06 18:40 Messaggi: 139
|
Inviato: Sab Apr 11, 2009 11:29 am Oggetto: |
|
|
ho creato una regola nella catena di forward del tipo
input interface th01
output interface eth01
policy drop o reject
ma i computer in risorse di rete continuano ha vedersi! dove sbaglio?
ciao |
|
Top |
|
 |
svenny
Registrato: 18/09/08 12:11 Messaggi: 245
|
Inviato: Lun Apr 13, 2009 11:11 am Oggetto: |
|
|
Premetto che non ho avuto modo di testare questa configurazione, in quanto, in questo momento, dispongo di un solo terminale wireless. Comunque, ipotizzando che si realizzi l'accesso wireless attraverso l'interfaccia ETH02 di ZS, che le catene di Input e di Forward del firewall siano impostate in policy ACCEPT e che la rete wireless abbia indirizzo 192.168.0.0/24, dovrebbero bastare le 2 seguenti regole di firewall, da applicare alla catena di Forward:
1 ETH02 * ACCEPT all opt -- in ETH02 out * 0.0.0.0/0 !-> 192.168.0.0/24
2 ETH02 * DROP all opt -- in ETH02 out * 0.0.0.0/0 -> 0.0.0.0/0
La prima regola accetta tutto il traffico proveniente dalla ETH02 destinato ad una rete diversa dalla 192.168.0.0/24. La seconda blocca tutto il traffico.
Ti prego di farmi sapere se questa configurazione riesce ad isolare i client wireless, grazie.
Ciao |
|
Top |
|
 |
quatoto
Registrato: 17/06/09 12:34 Messaggi: 63
|
Inviato: Ven Giu 19, 2009 5:00 pm Oggetto: |
|
|
Ciao svenny,
ho provato ad utilizzare la tua indicazione ma purtroppo pare che non funzioni.
Grazie
Claudio
ps: anche se è passato un po' di tempo dal tuo post, ho visto che non c'era feedback da parte di nessuno e ci ho pensato io  |
|
Top |
|
 |
giancagianca
Registrato: 14/08/07 20:10 Messaggi: 320
|
Inviato: Ven Giu 19, 2009 5:55 pm Oggetto: |
|
|
Il client insulation non puo agire a livello di gateway. Un client senza il gateway impostato avrebbe modo di visualizzare tutte la rete utilizzando l'indirizzo di broadcast. Oltre alla regola sul gateway quindi l'ap deve bloccare i pacchetti di broadcast.
Ciao. |
|
Top |
|
 |
|