www.zeroshell.net

ASVP · Registrato: 21/05/08 12:58 Messaggi: 134

Ciao a tutti

Utilizzando ZS come Access Point (con scheda wireless con chipset supportato dai MadWifi) i vari pc client si vedono tra di loro ?

E' possibile specificare l'opzione "wireless isolation" (sul mio vecchio netgear si chiamava così), vale a dire non far vedere tra loro i pc che si collegano a ZS.

Questo per evitare che utenti più smaliziati entrino nel pc di altri utenti meno furbi (ad esempio quelli che hanno la psw di administrator vuota).

Qualora non fosse prevista un opzione esplicita è cmq possibile riuscire nella cosa con una configurazione manuale dei vari sevizi di ZS ? Se si avete qualche link di riferimento ?

grazie per l'attenzione
_________________
www.asvp.it

svenny · Registrato: 18/09/08 12:11 Messaggi: 245

Credo basti consentire l'accesso ai client verso il gateway ed inibire l'accesso verso il resto della rete, configurando adeguatamente il firewall di ZS.

Ciao

ASVP · Registrato: 21/05/08 12:58 Messaggi: 134

quindi se la sorgente e' un ip interno la destinazione non deve essere anch'esso un ip interno ... o una regola simile ?

grazie mille !
_________________
www.asvp.it

svenny · Registrato: 18/09/08 12:11 Messaggi: 245

Nella catena di Input del firewall dovrai permettere l'accesso alla rete dei client, mentre nella catena di Forward dovrai bloccare l'accesso alla rete dei client. In questo modo i client potranno utilizzare i servizi di ZS, ma non potranno vedersi tra loro. Se hai un servizio nella rete dei client, a cui questi dovranno avere accesso ti basta inserire una regola, sempre nella catena di Forward, che consenta tale accesso. Naturalmente tale regola dovrà precedere quella che nega l'accesso ai client.

Ciao

ASVP · Registrato: 21/05/08 12:58 Messaggi: 134

ottimo grazie mille !
_________________
www.asvp.it

htc · Registrato: 09/12/06 18:40 Messaggi: 139

ciao svenny
potresti essere più specifico? magari con qualche esempio ! sai non sono un grande esperto di firewall

grazie

htc · Registrato: 09/12/06 18:40 Messaggi: 139

ho creato una regola nella catena di forward del tipo
input interface th01
output interface eth01

policy drop o reject

ma i computer in risorse di rete continuano ha vedersi! dove sbaglio?

ciao

svenny · Registrato: 18/09/08 12:11 Messaggi: 245

Premetto che non ho avuto modo di testare questa configurazione, in quanto, in questo momento, dispongo di un solo terminale wireless. Comunque, ipotizzando che si realizzi l'accesso wireless attraverso l'interfaccia ETH02 di ZS, che le catene di Input e di Forward del firewall siano impostate in policy ACCEPT e che la rete wireless abbia indirizzo 192.168.0.0/24, dovrebbero bastare le 2 seguenti regole di firewall, da applicare alla catena di Forward:

1 ETH02 * ACCEPT all opt -- in ETH02 out * 0.0.0.0/0 !-> 192.168.0.0/24

2 ETH02 * DROP all opt -- in ETH02 out * 0.0.0.0/0 -> 0.0.0.0/0

La prima regola accetta tutto il traffico proveniente dalla ETH02 destinato ad una rete diversa dalla 192.168.0.0/24. La seconda blocca tutto il traffico.

Ti prego di farmi sapere se questa configurazione riesce ad isolare i client wireless, grazie.

Ciao

quatoto · Registrato: 17/06/09 12:34 Messaggi: 63

Ciao svenny,
ho provato ad utilizzare la tua indicazione ma purtroppo pare che non funzioni.

Grazie

Claudio

ps: anche se è passato un po' di tempo dal tuo post, ho visto che non c'era feedback da parte di nessuno e ci ho pensato io Smile

giancagianca · Registrato: 14/08/07 20:10 Messaggi: 320

Il client insulation non puo agire a livello di gateway. Un client senza il gateway impostato avrebbe modo di visualizzare tutte la rete utilizzando l'indirizzo di broadcast. Oltre alla regola sul gateway quindi l'ap deve bloccare i pacchetti di broadcast.

Ciao.