Прописываете IP или MAC нажимаете Add потом Save, при необходимости меняете "циферки"
Привет!
Поднял гостевой WiFi на прошивке 22000 KingKong (Linksys E4200 v1).
Поборол проблему входа с гостевой сети в GUI и т.п. только с помощью добавления в фаервол следующих команд:
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Но так и не могу найти понятный мануал по ограничению трафика в гостевой сети. Вопросы такие:
1. В прошивках работает вкладка NAT/QoS или это можно решать только через генератор скрипта? Но не понятно, как в нем прописать сеть: 192.168.2.50 - 192.168.2.55, если там везде 192.168.1.х?
2. Если работает NAT/QoS, то как заполнять QoS Settings (если у меня от провайдера туда и обратно 60Mbit - то я должен вписать в Uplink (kbps) и Downlink (kbps) 7680?) и TCP-Packet Priority?
3. Могу ли я прописать в Netmask Priority отдельно каждый IP гостевой сети в виде: 192.168.2.50/32, 192.168.2.51/32 и т.д с параметрами или проще написать весь диапазон возможных IP: 192.168.2.1/24?
4. Зачем заполнять LAN Max?
5. В Netmask Priority прописывается только гостевая сеть или надо прописывать и личную?
Заранее благодарен за помощь!
Вопрос - зачем для гостевой сети доступ к портам роутера.
Суть генератора скрипта получить в конечном итоге - текстовый файл (скрипт) который потом запускается => его можно редактировать под ваши нужды.
В переводе с английского
- Down (вниз или вид стрелка вниз) - к вам
- Up (вверх или вид стрелка вверх) - от вас
Нужную для вас информацию и более подробно можно найти в интернете тематика - шейпинг трафика смысл везде один и тот же - промаркировать пакеты и на основании правил для данной маркировки применить правила ограничивающие его прохождение далее.
После настроек в WEB можно посмотреть результат выполнения команд :
Code:
cd /usrb/sbin
tc -s qdisc ls dev [интерфейс_WAN_порта]
tc -s class ls dev [интерфейс_WAN_порта]
tc filter show dev [интерфейс_WAN_порта]
iptables -t mangle -nvL
Вопрос - зачем для гостевой сети доступ к портам роутера.
У меня была проблема - когда поднял гостевую сеть, из нее, если набрать в браузере 192.168.1.1 можно было войти в GUI роутера, если ввести логин и пароль, хотя гостевая сеть вроде была "отгорожена" от гостевой и установками и командами в фаерволе. Это очень напрягало. Приведенные мной команды нашел на просторах интернета, как закрывающие доступ к роутеру по разным направлениям. После их ввода, достучатся из гостевой сети в GUI не получилось. Или что не так?
Спасибо Вам за ответ по шейпингу трафика. Буду смотреть в инете.
Ситуация в том, что не известно как вы создали гостевую сеть, и по постам выше видно, что использовали мост br1. Хотя зачем, когда можно было поднять MultiWLAN где второй созданный интерфейс wi-fi просто нужно вытащить из моста. Будете иметь для Ralink роутеров например:
Code:
bro - vlan1 (LAN порты) + ra0 (wi-fi - SSID_1) c IP 192.168.1.1
vlan2 - WAN порт
ra1 - (wi-fi - SSID_2) с IP 192.168.2.1 например
По умолчанию dd-wrt настроит только свои известные ей интерфейсы, не трогая ra1 => данный интерфейс будет развязан от всех других. Тут уже исходя из потребностей как раз и нужно было настроить ra1 на то что нужно, только интернет это vlan2 или ppp0 или чисто для локальной сети это br0.
Для Atheros смысл тот же только интерфейсы будут :
Code:
bro - vlan1 (LAN порты) + ath0 (wi-fi - SSID_1) c IP 192.168.1.1
vlan2 - WAN порт
ath1 - (wi-fi - SSID_2) с IP 192.168.2.1 например
или
Code:
bro - eth1 (LAN порты) + ath0 (wi-fi - SSID_1) c IP 192.168.1.1
eth0 - WAN порт
ath1 - (wi-fi - SSID_2) с IP 192.168.2.1 например
Например самый простой вариант гостевая только для интернета, тогда скрипт от генератора в котором ограничение для сети 192.168.2.2-192.168.2.50, а для выборочных клиентов привязка MAC к IP которые старше х.х.х.50.
Ситуация в том, что не известно как вы создали гостевую сеть
Создавал по мануалу: http://www.dd-wrt.com/wiki/index.php/Multiple_WLANs
В итоге использовал настройки Qos по IP адресам: прописал скорость по 200 Kbps, потом подключался к гостевой сети с помощью планшета и проверял через speedtest - такая скорость и есть. И в домашней сети со скоростью все нормально.
Спасибо Вам за ответы, но к сожалению мы говорим на разных языках: Вы специалист в этой области, а я - нет. С годами все больше надо времени на изучение чего то нового, тем более, что профиль деятельности совсем другой. Поэтому и пользуюсь чужими наработками.
Еще раз спасибо, что отозвались!
Ситуация в том, что не известно как вы создали гостевую сеть
Создавал по мануалу: http://www.dd-wrt.com/wiki/index.php/Multiple_WLANs
В итоге использовал настройки Qos по IP адресам: прописал скорость по 200 Kbps, потом подключался к гостевой сети с помощью планшета и проверял через speedtest - такая скорость и есть. И в домашней сети со скоростью все нормально.
Спасибо Вам за ответы, но к сожалению мы говорим на разных языках: Вы специалист в этой области, а я - нет. С годами все больше надо времени на изучение чего то нового, тем более, что профиль деятельности совсем другой. Поэтому и пользуюсь чужими наработками.
Еще раз спасибо, что отозвались!
Вопрос только в том зачем http://192.168.1.1/Wireless_Basic.asp в поле "Network Configuration" ставить "Bridged" если в нем http://192.168.1.1/Networking.asp в разделе "Current Bridging Table" в новом созданном "br1" только один интерфейс "wl0.1" согласно данного мануала.
Далее настраивают iptables для данного интерфейса речь там идет про "br1".
Самый простой способ для доступа "гостевой сети" в интернет например :
где
-ra1 это интерфейс wi-fi гостевой в отличие от основной ra0
-ppp0 это интерфейс интернета поднятый при помощи pppoe или pptp
Далее ограничения на скорость для сети 192.168.2.2-254 сам скрипт от генератора например :
Code:
TCA="tc class add dev ra1"
TFA="tc filter add dev ra1"
TQA="tc qdisc add dev ra1"
SFQ="sfq perturb 10"
tc qdisc del dev ra1 root
tc qdisc add dev ra1 root handle 1: htb
tc class add dev ra1 parent 1: classid 1:1 htb rate 20000kbit
$TCA parent 1:1 classid 1:10 htb rate 5000kbit ceil 10000kbit prio 1
$TCA parent 1:1 classid 1:11 htb rate 2000kbit ceil 10000kbit prio 2
$TQA parent 1:10 handle 10: $SFQ
$TQA parent 1:11 handle 11: $SFQ
$TFA parent 1:0 prio 1 protocol ip handle 10 fw flowid 1:10
$TFA parent 1:0 prio 2 protocol ip handle 11 fw flowid 1:11
iptables -t mangle -A POSTROUTING -m iprange --dst-range 192.168.2.2-192.168.2.10 -j MARK --set-mark 10
iptables -t mangle -A POSTROUTING -m iprange --dst-range 192.168.2.11-192.168.2.20 -j MARK --set-mark 11
где скорость на основном канале 20000/20000 и настройки для двух диапазонов IP:
один classid для 192.168.2.2-192.168.2.10 гарантированная rate 5000kbit с возможностью подъема при свободном канале до ceil 10000kbit, приоритет prio 1 выше чем prio 2 => пакеты будут обслуживаться раньше
другой classid для 192.168.2.11-192.168.2.20 гарантированная rate 2000kbit с возможностью подъема при свободном канале до ceil 10000kbit