Beveiliging op draad netwerk vanuit router DD-WRT of anders - Netwerken

maandag 22 augustus 2011 22:46

Acties:

Topicstarter

Hallo,

Ik zal eerst even de situatie uitleggen.

Ik woon in een studenten huis met nog 9 andere huisgenoten, nu staat het internet abbonement op mijn naam en niet iedereen doet mee (dus betaald ook niet mee) en daardoor wil ik ervoor zorgen dat diegene die niet mee betalen ook geen internet acces kunnen krijgen.

Nu vraag ik me af hoe ik dit het beste kan doen.
Ik kan wel Mac adressen blokeren bij acces restrictions in dd-wrt maar dan moet ik continu in de router gaan kijken of er iemand op zit die er niet ophoord,

Is er geen mogelijkheid om het anders te doen, zoals alles blokeren behalve diegene die in het lijstje staan die wel WAN acces mogen.

Er zijn ook nog meerdere custom firmwares voor routers zoals Tomato maar ik geloof niet dat dat op een WRT160NL kan dat is namelijk de router die boven staat, en beneden staat de E4200 maar die is makkelijk in de gaten te houden aangezien er maar 3 mensen beneden wonen waar ik er een van ben.

Ik zou ook een hotspot kunnen maken in de router, maar dat is denk ik weer te omslachtig, dan moeten ze telkens inloggen etc.

Iemand enig idee?

Met vriendelijke groet,

Marco Nijholt

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 22:48

Acties:

peak

Als het goed is kan je op DD-wrt bij Internet Rules aangeven wanneer er internet gebruikt mag worden en ook de allowed devices...

En als je erg omslachtig wilt doen, kun je nog altijd een firewall er tussen zetten die alleen allowed devices toe laat, maar naar mijn weten kan dd-wrt dit ook..

Heb alleen nu geen dd-wrt router om te het testen, maar ik heb het wel gezien..

maandag 22 augustus 2011 22:49

Acties:

Petervanakelyen

Is er geen mogelijkheid om het anders te doen, zoals alles blokeren behalve diegene die in het lijstje staan die wel WAN acces mogen.

Mac-address whitelist?

Somewhere in Texas there's a village missing its idiot.

maandag 22 augustus 2011 22:50

Acties:

Trommelrem

Ik heb precies hiervoor een Pheenet aangeschaft. Users betalen via PayPal voor internettoegang en ik krijg het op mijn PayPal rekening gestort. DD-WRT ondersteunt overigens ook PayPal.

[ Voor 12% gewijzigd door Trommelrem op 22-08-2011 22:50 ]

maandag 22 augustus 2011 22:50

Acties:

marco282

Topicstarter

Dan is mijn vraag, hoe doe je dit, want ik kan dit niet echt vinden, een white list, alleen een blacklist als t ware

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 22:51

Acties:

marco282

Topicstarter

Trommelrem schreef op maandag 22 augustus 2011 @ 22:50:
Ik heb precies hiervoor een Pheenet aangeschaft. Users betalen via PayPal voor internettoegang en ik krijg het op mijn PayPal rekening gestort. DD-WRT ondersteunt overigens ook PayPal.

Dat vind ik iets te omslachtig, om dit hen via paypal te laten betalen.
neem aan dat er een makkelijkere weg is

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 22:53

Acties:

DukeBox

Als er ook maar een iemand is met een beetje kennis dan heeft mac black/white listing geen nut.
Werkt iedereen wireless ? Zo ja, dan is het misschien een optie om 3 SSID's te configureren (per persoon een) op dd-wrt, dan heb je per SSID een eigen WPA key.
Scheelt iedereen een hoop werk, als iemand een nieuw telefoontje hebt loop je niet te klooien met mac adressen enz..

maandag 22 augustus 2011 22:55

Acties:

Petervanakelyen

Access Restrictions --> Allow --> Edit list of PCs

Is het niet mogelijk gewoon de kabel uit te trekken van degenen die niet mee betalen? Dat is al iets moeilijker te omzeilen dan mac-adres spoofing

[ Voor 36% gewijzigd door Petervanakelyen op 22-08-2011 22:56 ]

Somewhere in Texas there's a village missing its idiot.

maandag 22 augustus 2011 22:57

Acties:

marco282

Topicstarter

om vanuit een blacklist te ontsnappen dat zou ik weten, meer white list hoe willen ze dat doen?
en helaas werkt niet iedereen wireless

@peter Dat is idd ook mogelijk, maar voor de eigenwijze mensen die t doen als ik weg ben of whatever, t gaat om t idee dat het niet 1,2,3 makkelijk voor ze moeten zijn

ps: ik heb geen Deny of Allow erin staan, alleen deny of filter

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:01

Acties:

Petervanakelyen

Ik zie het, vreemd dat ze die optie weggelaten hebben (vroeger zat die er wel in).
Je kan het overigens wel eenvoudig terug toevoegen met wat iptables commando's, zoals hier wordt beschreven.

[ Voor 5% gewijzigd door Petervanakelyen op 22-08-2011 23:01 ]

Somewhere in Texas there's a village missing its idiot.

maandag 22 augustus 2011 23:01

Acties:

DJSmiley

Wireless uit, kabeltje naar elke kamer (zoiezo het betrouwbaarst, zeker bij grotere panden), simpele managed switch ertussen en gaan.

Dan kun je eventueel ook nog een klein beetje limiteren (poort bv op 5 of 10Mbit zetten om te voorkomen dat <insert naam> de verbinding overhoop trekt, je kan bij ellende vrij makkelijk debuggen (en dingen als bandbreedte monitoren enz) en een poortje uitschakelen (niet betalen? poort uit)

maandag 22 augustus 2011 23:03

Acties:

marco282

Topicstarter

Waar zou je zo`n switch kunnen halen? en er ligt ook overal een wired netwerk, er is nog geen wireless aanwezig (woon hier pas sinds paar weken en heb internet maar op me genomen aangezien het er anderhalf maand niet was) ik heb natuurlijk wel 2 routers die capable zijn maar of ik die wachtwoorden ga geven moet ik zien, wifi is niet betrouwbaar genoeg, te makkelijk codes doorgeven, dus dat zou alleen kunnen met Whitelist, maar ik ga ff kijken naar iptables

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:05

Acties:

Petervanakelyen

Managed switches kan je gewoon vinden in de Pricewatch

[ Voor 11% gewijzigd door Petervanakelyen op 22-08-2011 23:07 ]

Somewhere in Texas there's a village missing its idiot.

maandag 22 augustus 2011 23:07

Acties:

DukeBox

Overal.. een (web) managed switch is tegenwoordig leuk betaalbaar.. mocht je router beperkt zijn kun je ook een layer 2(of3) switch nemen, kan iedereen ook zijn eigen netwerk segment krijgen en heb je dingen als QoS beschikbaar zonder daar je router (die toch een lichtere cpu heeft) mee te belasten.

maandag 22 augustus 2011 23:08

Acties:

marco282

Topicstarter

Tja toch weer vrij duur voor een student, dus als er oplossingen zijn voor in de router dan zou dat een stuk beter zijn.

Van id iptables en alles snap ik niet zoveel met commands,
want het ziet er moeilijker uit dan ik dacht dat het zou zijn wat commands betreft

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:15

Acties:

DJSmiley

marco282 schreef op maandag 22 augustus 2011 @ 23:08:
Tja toch weer vrij duur voor een student, dus als er oplossingen zijn voor in de router dan zou dat een stuk beter zijn.

Van id iptables en alles snap ik niet zoveel met commands,
want het ziet er moeilijker uit dan ik dacht dat het zou zijn wat commands betreft

Een managed switch kost niet veel. Voor internet is 100Mbit zat, en die dingen koop je (24 poorts) voor 25-50 eur 2ehands

maandag 22 augustus 2011 23:15

Acties:

Petervanakelyen

Het is helemaal zo moeilijk niet. Waarom panikeert iedereen bij het zien van een command line?
Je kan dit script gebruiken:

code:

# Set up the chain
iptables -N wanout
iptables -I FORWARD -i `nvram get lan_ifname` -j wanout

# Create whitelist 'function' script
WOUT="/tmp/wanout"
echo 'iptables -I wanout $1 -j ACCEPT' > $WOUT
chmod 777 $WOUT

# Exempt Machine MAC
insmod ipt_mac
$WOUT '-m mac --mac-source 01:01:01:01:01:01'
$WOUT '-m mac --mac-source 02:02:02:02:02:02'
$WOUT '-m mac --mac-source 03:03:03:03:03:03'

# Everything else gets blocked
iptables -A wanout -i `nvram get lan_ifname` -j REJECT --reject-with icmp-proto-unreachable

Het enige dat je aanpast zijn de mac-adressen van de toegelaten clients, script voeg je toe bij Administration --> Commands.

[ Voor 23% gewijzigd door Petervanakelyen op 22-08-2011 23:19 ]

Somewhere in Texas there's a village missing its idiot.

maandag 22 augustus 2011 23:18

Acties:

marco282

Topicstarter

ik heb hem nu zo

#white-list wireless clients on a RB dd-wrt router
insmod ipt_mac
insmod ebtables
insmod ebtable_filter
# witte lijst CLIENTEN
# MARCO
ebtables -I FORWARD -s 00:25:22:79:68:E9 -j ACCEPT
# ROUTER METERKAST
ebtables -I FORWARD -s 00:50:FC:D3:B6:17 -j ACCEPT
# Router WAN MAC
ebtables -I FORWARD -s 00:25:9C:14:6B:6C -j ACCEPT
# Router LAN + WLAN mac
ebtables -I FORWARD -s 00:25:9C:14:6B:6A -j ACCEPT
# AP adres
ebtables -I FORWARD -s 00:16:0a:20:fe:c0 -j ACCEPT
#broadcast address
ebtables -I FORWARD -s ff:ff:ff:ff:ff:ff -j ACCEPT
#drop everything else
ebtables -A FORWARD -j DROP

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:20

Acties:

marco282

Topicstarter

ik test nu ff deze, als dit werkt dan hou ik hem zo anders gebruik ik die van jou om ff te klooien.

EDIT:
Die van mij werkt niet

[ Voor 15% gewijzigd door marco282 op 22-08-2011 23:22 ]

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:30

Acties:

Thralas

DukeBox schreef op maandag 22 augustus 2011 @ 22:53:
Als er ook maar een iemand is met een beetje kennis dan heeft mac black/white listing geen nut.

Er is geen context gegeven door de TS. De gemiddelde persoon weet niet eens wat een MAC-adres is, en als je al over de benodigde kennis beschikt je 't moreel besef van een stoeptegel hebt als je oneigenlijk gebruikmaakt van het internet van je huisgenoten.

Prima oplossing dus, tenzij 'ie met 9 gierige informaticastudenten samenwoont

maandag 22 augustus 2011 23:31

Acties:

marco282

Topicstarter

Dit script runt nu en werkt perfect, met mijn computer kan ik erop maar met mn laptop geeft die aan dat er geen netwerk kabel is aangesloten

Dit moet in principe voldoende zijn voor wat mijn bedoellingen zijn, werkt dit ook gelijk voor de WLAN?

Kan het op het moment niet testen aangezien internet nog niet actief is in het huis heb ik mijn router als CLIENT ingesteld op een onbeveiligde wifi netwerk hier in de buurt om toch internet te leveren via kabel naar mn pc. (over oneigenlijk gebruik gesproken (sorry SWEEX routertje hier ergens))

Super bedankt!

Petervanakelyen schreef op maandag 22 augustus 2011 @ 23:15:
Het is helemaal zo moeilijk niet. Waarom panikeert iedereen bij het zien van een command line?
Je kan dit script gebruiken:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# Set up the chain
iptables -N wanout
iptables -I FORWARD -i `nvram get lan_ifname` -j wanout

# Create whitelist 'function' script
WOUT="/tmp/wanout"
echo 'iptables -I wanout $1 -j ACCEPT' > $WOUT
chmod 777 $WOUT

# Exempt Machine MAC
insmod ipt_mac
$WOUT '-m mac --mac-source 01:01:01:01:01:01'
$WOUT '-m mac --mac-source 02:02:02:02:02:02'
$WOUT '-m mac --mac-source 03:03:03:03:03:03'

# Everything else gets blocked
iptables -A wanout -i `nvram get lan_ifname` -j REJECT --reject-with icmp-proto-unreachable
Het enige dat je aanpast zijn de mac-adressen van de toegelaten clients, script voeg je toe bij Administration --> Commands.

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:33

Acties:

marco282

Topicstarter

Ik ben zelf denk ik de enigste hier die die kant opwerkt, begin volgende week aan de NID (netwerk infrastructuur & design ) opleiding aan hogeschool zuyd in heerlen dus ja dit moest me gewoon lukken haha ;p

Maar het draait nu perfect.
Wireless kan ik pas proberen als ik mijn router niet meer bridged heb.

maar als ik dus een typefout had gemaakt in mac adres, dan kwam ik niet meer in router zonder te resetten haha, fijn!

Thralas schreef op maandag 22 augustus 2011 @ 23:30:
[...]

Er is geen context gegeven door de TS. De gemiddelde persoon weet niet eens wat een MAC-adres is, en als je al over de benodigde kennis beschikt je 't moreel besef van een stoeptegel hebt als je oneigenlijk gebruikmaakt van het internet van je huisgenoten.

Prima oplossing dus, tenzij 'ie met 9 gierige informaticastudenten samenwoont

3X Multiplus II 10KVA, 2x MPPT RS 450/200, 48v 82kWh LiFePO4, 21kwp PV

maandag 22 augustus 2011 23:34

Acties:

Thralas

[ Voor 99% gewijzigd door Thralas op 22-08-2011 23:36 . Reden: Err, klikte mis. ]

dinsdag 23 augustus 2011 17:03

Acties:

Trommelrem

marco282 schreef op maandag 22 augustus 2011 @ 22:51:
[...]

Dat vind ik iets te omslachtig, om dit hen via paypal te laten betalen.
neem aan dat er een makkelijkere weg is

Er zat ook een bonnetjesprinter bij. Een druk op de knop en er komt een bonnetje uit met een toegangscode.
Overigens kan het apparaat ook worden aangesloten op een bonnetjesprinter met muntenautomaat.

Pagina: 1

Reageer