Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

zeroshell free authorized clients non navigano

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Nikoh



Registrato: 13/01/16 14:17
Messaggi: 17

MessaggioInviato: Gio Mag 26, 2016 2:11 pm    Oggetto: zeroshell free authorized clients non navigano Rispondi citando

Salve a tutti, il problema è causato dalla chain forward del firewall; infatti se la imposto su accepted anziché su drop tutto funziona. Purtroppo non riesco a creare una regola che permetta di far accedere ad internet i client inseriti con mac address nella tabella free...
La più banale mi sembrava aggiungere una regola con tutto vuoto (quindi any) e mettere solo il mac address ed accepted ma non funziona.
Qualcuno sa come potrei risolvere?
Grazie in anticipo.
Top
Profilo Invia messaggio privato
Nikoh



Registrato: 13/01/16 14:17
Messaggi: 17

MessaggioInviato: Sab Mag 28, 2016 12:58 pm    Oggetto: Rispondi citando

Nessuno riesce ad aiutarmi?
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Sab Mag 28, 2016 3:26 pm    Oggetto: Rispondi citando

Ciao,
non mi è molto chiaro cosa vuoi fare...
cerco di intuire:
1. hai il captive portal attivo e devi permettere di accedere ad internet direttamente solo ad alcuni client identificati dal loro MAC address?
oppure
2. non stai identificando i client in nessun modo, ma vuoi che alcuni vadano in internet e altri no in base al Mac address?

in ogni caso autorizzare in base al MAC address ricorda che non è mai una buona cosa. E' una protezione che con un minimo di conoscenze si può facilmente raggirare.

Claudio
Top
Profilo Invia messaggio privato
Nikoh



Registrato: 13/01/16 14:17
Messaggi: 17

MessaggioInviato: Sab Mag 28, 2016 11:36 pm    Oggetto: Rispondi citando

claudioV ha scritto:
Ciao,
non mi è molto chiaro cosa vuoi fare...
cerco di intuire:
1. hai il captive portal attivo e devi permettere di accedere ad internet direttamente solo ad alcuni client identificati dal loro MAC address?
oppure
2. non stai identificando i client in nessun modo, ma vuoi che alcuni vadano in internet e altri no in base al Mac address?

in ogni caso autorizzare in base al MAC address ricorda che non è mai una buona cosa. E' una protezione che con un minimo di conoscenze si può facilmente raggirare.

Claudio

Ciao Claudio, ho installato ZS con ZT in un hotel ed ho il captive portal attivo per i clienti; vorrei autorizzare tramite MAC alcuni device tipo gli smartphone del personale che utilizziamo come walkie tolkie con telegram.
eth1 (10.10.0.1) è l'interfaccia della rete clienti, nattata su eth0 (192.168.0.110) che è la rete interna dove c'è anche il gateway (192.168.0.1).
I clients che si autenticano navigano senza problemi mentre i free no.
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Dom Mag 29, 2016 9:10 am    Oggetto: Rispondi citando

Nikoh ha scritto:
Ciao Claudio, ho installato ZS con ZT in un hotel ed ho il captive portal attivo per i clienti; vorrei autorizzare tramite MAC alcuni device tipo gli smartphone del personale che utilizziamo come walkie tolkie con telegram.
eth1 (10.10.0.1) è l'interfaccia della rete clienti, nattata su eth0 (192.168.0.110) che è la rete interna dove c'è anche il gateway (192.168.0.1).
I clients che si autenticano navigano senza problemi mentre i free no.


OK, adesso è chiaro!
io a scuola avevo fatto più o meno la stessa cosa: il CP per studenti su una rete open e lo smart phone del vicepreside con MAC inserito tra i free.
Per fare questo non ho avuto nessuna necessità di fare regole in "Firewall" ma ho semplicemente inserito il MAC address nella scheda "Captive Portal", in Free Authorized ho selezionato "client". Ho cliccato su bottone '+', sulla scheda che si apre, ho inserito una descrizione, ho lasciato vuoto IP e ho messo il mac address con i numeri in esadecimali separati da i due punti (AF:5E:80:DB....) così lo smart phone si aggancia velocemente perchè per lui è praticamente una rete aperta.

Poi però avevo sempre la paranoia che qualche studente (o casa vicina) potesse sniffare il mac address e collegarsi. Stavo sempre a guardare log...

Quindi se gli Access Point te lo permettono fai due SSID uno per gli ospiti sotto il CP e l'altro per il personale con una semplice WPA2.
Fammi sapere come va...

Claudio
Top
Profilo Invia messaggio privato
Nikoh



Registrato: 13/01/16 14:17
Messaggi: 17

MessaggioInviato: Dom Mag 29, 2016 8:08 pm    Oggetto: Rispondi citando

Ciao Claudio, purtroppo inserendo il mac tra i free authorized clients non funziona; o meglio si connette alla rete ma non naviga.
Se metto la chiain forward in accept funziona tutto quindi presumo che si tratti del firewall.
Dato che per motivi di sicurezza la chian forward è impostata su drop, con alcune regole accettate, devo trovare una regola che permetta ai free authorized clients di navigare e proprio non ci riesco.
Ovviamente ho provato la più banale inserendo tutto vuoto e mettendo sono il mac ma non funziona...
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Dom Mag 29, 2016 8:55 pm    Oggetto: Rispondi citando

Nikoh ha scritto:
Ciao Claudio, purtroppo inserendo il mac tra i free authorized clients non funziona; o meglio si connette alla rete ma non naviga.
Se metto la chiain forward in accept funziona tutto quindi presumo che si tratti del firewall.
Dato che per motivi di sicurezza la chian forward è impostata su drop, con alcune regole accettate, devo trovare una regola che permetta ai free authorized clients di navigare e proprio non ci riesco.
Ovviamente ho provato la più banale inserendo tutto vuoto e mettendo sono il mac ma non funziona...


Io ho lasciato le regole del firewall di default cioè tutto aperto in uscita: Policy Accept e Chain Forward e non ho nessuna regola inserita da me. Nel mio caso l'autenticazione la fa il CP e una volta dentro permetto la navigazione, poi se un utente ha il Mac tra i free salta l'autenticazione.

Ho capito che hai fatto delle specifiche regole per "droppare" qualcosa sicuramente sarà una di quelle che oltre a fare il suo lavoro non ti fa andare i mac free.

Clauido
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Dom Mag 29, 2016 9:32 pm    Oggetto: Rispondi citando

Allora ho fatto le prove, e posso solo confermare i tuoi problemi, ad esempio:
- se uso come policy Accept e poi creo una regola che nega solo un mac, funziona! cioè fa passare tutto e blocca solo quel mac;
- al contrario se uso come policy Drop e poi creo una regola che accetta solo un mac, non funziona, ma ti dirò di più non funziona neache se metto l'IP o una destinazione o qualunque altra cosa, sembra non funzionare mai.

Quindi sulla policy Drop non ti so aiutare perchè ho riscontrato i tuoi stessi problemi, ma prova quest'altra cosa, usa come policy Accept e crea le due seguenti regole:
1. come sorgente la tua interfaccia eth1 e come destinatario l'IP del gateway 192.168.0.1, action ACCEPT.
2. come ultima regola (dopo tutte le altre) sorgente sempre eth1 senza destinatario e come action DROP.

In questa maniera il DROP lo fai come regola e non come policy.
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Dom Mag 29, 2016 11:14 pm    Oggetto: Rispondi citando

OK! ho capito il problema!

In pratica se tu neghi tutto (drop) e vuoi autorizzare un client a "uscire" non basta creare una sola regola che ha come sorgente quel client, ma devi anche crearne una dove il client è destinatario.
Cioè non basta autorizzare i pacchetti ad uscire ma devi anche autorizzare i pacchetti a rientrare dopo che sono tornati indietro.
Normalmente se lavoriamo a livello di indirizzi IP si creano 2 regole una per autorizzare un IP sorgente ad uscire anche con nuove connessioni (con state NEW,RELATED,ESTABLISHED) e una seconda regola dove quello stesso IP è destinatario ( con state RELATED,ESTABLISHED).

Ora guardando l'interfaccia grafica di Zeroshell ci accorgiamo che il MAC address si può inserire solo come sorgente e non c'è la casella di testo per MAC destinatario.
OVVIO! i pacchetti contengono solo l'IP destinazione non è possibile fare regole del firewall con MAC destinazione.

Al più potresti creare una regola dove vai a scrivere nella casella di testo "IPTABLES Parameters" il seguente testo: -m state --state RELATED,ESTABLISHED e come action ACCEPT.
Ma questo mi sa che è quasi come usare la Policy ACCEPT; perchè stai dicendo che autorizzi tutti i pacchetti di ritorno, cioè di connessioni già stabilite.

Claudio
Top
Profilo Invia messaggio privato
Nikoh



Registrato: 13/01/16 14:17
Messaggi: 17

MessaggioInviato: Lun Mag 30, 2016 8:46 am    Oggetto: Rispondi citando

Ciao, in base alle tue dritte ho risolto; in pratica ho impostato il dhcp con un ip fisso per un mac specifico, dopodichè ho creato 2 regole di forward su ip-in e ip-out.
Grazie di tutto.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it