Закрыть доступ в LAN

Vladimir Isakov написал(а) к All в Apr 16 12:48:08 по местному времени:

╔═[ Привет, All! ]═--

Подскажите как закрыть доступ к LAN для гостевой сети...

Есть пк на линуксе к нему подключен вайфай адаптер и кабель из роутера, с помощью hostapd и dnsmasq настроена открытая точка доступа для гостевого вайфая. Всем подключившимся выдается йп из диапазона 192.168.20.10-100 чтобы у них был инет включен нат:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISНED -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

Есть ещё локальная сеть 192.168.0.0 в которой находятся все остальные пк и к которым нужно прикрыть доступ.

Пробовал такое правило на пк с вайфаем:

sudo iptables -A OUTPUT -m iprange --src-range 192.168.1.2-192.168.1.254 -j DROP

не помогло, становится не доступен сам пк.
Как сделать?

--- GoldED+/LNX ~ Retro PC --════[TRANSFER COMPLETE]═╝

Sergey Utkin написал(а) к Vladimir Isakov в Apr 16 14:06:32 по местному времени:

Привет, Vladimir!

21 апр 16 12:48, Vladimir Isakov -> All:

VI> ╔═[ Привет, All! ]═--

VI> Подскажите как закрыть доступ к LAN для гостевой сети...

VI> Есть пк на линуксе к нему подключен вайфай адаптер и кабель из
VI> роутера, с помощью hostapd и dnsmasq настроена открытая точка доступа
VI> для гостевого вайфая. Всем подключившимся выдается йп из диапазона
VI> 192.168.20.10-100 чтобы у них был инет включен нат:

VI> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
VI> iptables -A FORWARD -i eth0 -o wlan0 -m state --state
VI> RELATED,ESTABLISНED -j ACCEPT iptables -A FORWARD -i wlan0 -o eth0 -j
VI> ACCEPT

VI> Есть ещё локальная сеть 192.168.0.0 в которой находятся все остальные
VI> пк и к которым нужно прикрыть доступ.

VI> Пробовал такое правило на пк с вайфаем:

VI> sudo iptables -A OUTPUT -m iprange --src-range
VI> 192.168.1.2-192.168.1.254 -j DROP

VI> не помогло, становится не доступен сам пк.
VI> Как сделать?
Почему OUTPUT? Попробуй FORWARD.


С наилучшими пожеланиями, Sergey.

... @~/random.txt
--- -GoldED+/LNX 1.1.5

Alexey Vissarionov написал(а) к Sergey Utkin в Apr 16 19:11:44 по местному времени:

Доброго времени суток, Sergey!
26 Apr 2016 14:06:32, ты -> Vladimir Isakov:

VI>> Подскажите как закрыть доступ к LAN для гостевой сети...
VI>> Есть пк на линуксе к нему подключен вайфай адаптер и кабель из
VI>> роутера, с помощью hostapd и dnsmasq настроена открытая точка
VI>> доступа для гостевого вайфая.
VI>> Есть ещё локальная сеть [...] нужно прикрыть доступ.
VI>> Как сделать?
SU> Почему OUTPUT? Попробуй FORWARD.

Ура! Я все же дождался этого дурацкого ответа... :-)

Вышеописанная топология сети ни на какие мысли не наводит?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Лотерея (сущ.): форма налога на незнание теории вероятности
--- /bin/vi

Vladimir Isakov написал(а) к Sergey Utkin в Apr 16 11:24:54 по местному времени:

╔═[ Привет, Sergey! ]═--

Ответ на сообщение Sergey Utkin к Vladimir Isakov, написанное 26 апр 16 в 14:06:

VI>> Пробовал такое правило на пк с вайфаем:

VI>> sudo iptables -A OUTPUT -m iprange --src-range
VI>> 192.168.0.2-192.168.0.254 -j DROP

VI>> не помогло, становится не доступен сам пк.
VI>> Как сделать?
SU> Почему OUTPUT? Попробуй FORWARD.

Пробовал. Но потом разобрался и сделал так:

iptables -I FORWARD -s 192.168.20.0/24 -d 192.168.0.0/24 -j DROP


--- GoldED+/LNX ~ Retro PC --════[TRANSFER COMPLETE]═╝

Sergey Utkin написал(а) к Vladimir Isakov в Apr 16 11:40:54 по местному времени:

Привет, Vladimir!

28 апр 16 11:24, Vladimir Isakov -> Sergey Utkin:

VI> ╔═[ Привет, Sergey! ]═--

VI> Ответ на сообщение Sergey Utkin к Vladimir Isakov, написанное 26
VI> апр 16 в 14:06:

VI>>> Пробовал такое правило на пк с вайфаем:

VI>>> sudo iptables -A OUTPUT -m iprange --src-range
VI>>> 192.168.0.2-192.168.0.254 -j DROP

VI>>> не помогло, становится не доступен сам пк.
VI>>> Как сделать?
SU>> Почему OUTPUT? Попробуй FORWARD.

VI> Пробовал. Но потом разобрался и сделал так:

VI> iptables -I FORWARD -s 192.168.20.0/24 -d 192.168.0.0/24 -j DROP

Ну и хорошо :)

С наилучшими пожеланиями, Sergey.

... @~/random.txt
--- -GoldED+/LNX 1.1.5