Zugriff auf WLAN gestatten, aber nicht auf LAN - mit IPTables ?

[Dennis Wronka]

Ja, so eine Mac-Addresse ist natuerlich recht einfach zu faelschen, jedoch muss man dafuer dann das Glueck haben eine der erlaubten Addressen zu erwischen.

Zu Deinem Edit: Da kann ich Dir nichts zu sagen da ich nicht weiss ob die Kommunikation dann mit der Mac des AP weitergeht oder weiterhin mit der Mac des Clients.

 

[kleriker]

Die erlaubten Adressen zu finden, ist eigentlich recht einfach. Da muss ja nur ein erlaubter Rechner mal per WLAN online sein. Schon hat man die MAC.

Nochmal zu meiner Frage, würde das gehen mit den LAN-Ports, also einen LAN-Anschluss von den anderen absondern ?

Gruß,
Alex

 

[Dennis Wronka]

Hmm, gute Frage. Dann musst Du aber immer noch einrichten, dass nur bestimmte Rechner auf diesen Anschluss duerfen.
Auch wenn Du verschiedene Subnetze nutzt wirst Du Routing brauchen, wo Du wiederum filtern musst wer darf und wer nicht.

So gross ist die Gefahr meiner Meinung nach auch nicht. Denn der User kann auch nur raten welcher Rechner zu den erlaubten gehoert und welcher nicht.
Er muss dann die verfuegbaren MACs durchprobieren.
Zudem kann man davon ausgehen, dass die meisten User garnicht wissen wie das geht.
Natuerlich besteht ein gewissen Risiko, jedoch faellt mir momentan keine wirkliche Loesung ein.

 

[kleriker]

Also wenn wäre das so gestaltet, dass der AP nur für die Ferienwohnung ist. Unsere Rechner greifen weiterhin direkt über den Router zu. Somit bräuchte man keine Ausnahmen zu machen. Es wäre mir halt der angenehmere Weg, denn so bräuchte ich den Haupt-WPA Schlüssel nicht rausgeben, andem alles hängt. Gut ok, bin in der Hinsicht einwenig paranoid, muss ich zugeben +gg+.

Achso schreib mir bitte auch nochmal einen Befehl, womit ich eine Mac für LAN sperren kann, dann kann ich das ja mal mit der Mac des APs probieren.

Nochmals Danke.

Gruß,
Alex

 

[Dennis Wronka]

Um den Zugriff einer bestimmten MAC auf das LAN zu sperren sollte Dir folgender Befehl helfen:

iptables -I FORWARD 1 -i br0 -o ! ppp0 -m mac --mac-source NOTEBOOK_MAC -j REJECT

 

[kleriker]

Super, danke.

Ich glaube ich habe jetzt auch ne Lösung gefunden:

Der AP hat ein eigenes WLAN mit eigenem WPA Schlüssel. Zusätzlich stell ich noch einen MAC Filter ein. Auf diesem AP greifen nur die Feriengäste zu, somit sind auch nur deren MCs eingetragen. Soo ... im Router nehme ich dann dein Script von oben und stelle ein, dass nur meine eingetragenen MACs aufs Lan zugreifen können. Wenn jetzt nun einer wirklich ne MAC von meinen Rechnern spoofen würde, dann kann er mit der nix anfangen, da sie nicht auf dem AP eingetragen ist. Auf den Router kann er wiederrum auch nicht zugreifen, da er nicht den richtigen WPA Schlüssel hat. Somit wäre ich relativ abgesichert.

Gruß,
Alex

 

[Dennis Wronka]

Nichts zu danken.
Wenn Du's probiert hast waere eine Rueckmeldung nett ob es denn so geklappt hat.

 

[kleriker]

Hallo,

so habe jetzt alle Befehle getestet und leider führte keiner zum Erfolg. Ich konnte immer mit dem Test-Laptop auf das LAN zugreifen. Hast du vielleicht noch ne Idee ?

Gruß,
Alex

 

[Dennis Wronka]

Hast Du auf dem Router eine Moeglichkeit einzusehen von welchem Interface der Traffic kommt und wo er hingeht?
TCPDump ist nicht zufaellig verfuegbar, oder?

 

[kleriker]

habe gerade mal tcpdump probiert, aber den Befehl kennt er nicht. Auch sonst habe ich wohl keine Möglichkeit das einzusehen.