Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
panel wstepu do sieci WiFi [NND] http://forum.freesco.pl/viewtopic.php?f=8&t=17847 |
Strona 1 z 2 |
Autor: | CyberDuck [ środa, 23 września 2009, 18:17 ] |
Tytuł: | panel wstepu do sieci WiFi [NND] |
Kiedys bedac nad morzem i wziawszy ze soba lapka chcialem sie polaczyc z netem. Zaczolem wiec od poszukiwania jakis sieci. Po podlaczeniu sie do jednej z sieci i uruchomieniu przegladarki zobaczylem prosta stronke na ktorej byla zawarta informacja, ze jesli chce miec net to musze zadzwonic pod dany numer, itd, bleble Zadzwonilem tam wiec i po 5 min mialem juz net placac jakas ustalona stawke. Teraz pytanie. Czy dysponujac NND i jakims routerem WiFi da sie cos takiego zrobic ? |
Autor: | Maciek [ środa, 23 września 2009, 18:34 ] |
Tytuł: | |
Tak. I od razu uprzedzając pytania. Jest kilka sposobów. Możesz w oparciu o radiusa i chillispot uruchomić coś własnego. Kiedyś na "ogólne życzenie" jedengo usera przygotowałem wersję NND nazwaną Skylark. Tam takie rozwiązanie było przygotowane. Możesz oczywiście to sobie skonfigurować w normalnym NND. Możesz skorzystać z kilku rozwiązań gotowqych, które oparte są o istniejące już mechanizmy. Jedne darmowe, drugie płatne. Najbardziej znany jest system La Fonera. Ponadto sa takie rzeczy jak np Wifi Dog. |
Autor: | CyberDuck [ środa, 23 września 2009, 20:12 ] |
Tytuł: | |
Rozumiem, ze to jest cos na zasadzie powiadomien uzytkownikow jak w panelach o zablokowaniu wstepu do internetu. Znaczy w razie blokady wywolanie polaczenia skutkuje przekierowaniem na port vhosta i w ten sposob wyswietla sie strona ? W takim razie jesli dziala juz w systemie powiadomienie o zablokowaniu i dziala www na porcie 80 to czy nie bedzie to rozwiazanie kolidowac z ktoryms, ktore wymieniles ? Moge prosic o jakies porady krok po kroku jak to zrobic ? Nie chodzi mi o gotowce. Chcialbym wiedziec jak to dziala i co po kolei robic ... |
Autor: | rikardo7 [ środa, 23 września 2009, 22:46 ] |
Tytuł: | |
a czy vhost nie moze miec innego portu ? to Ty decydujesz na jakim porcie jest vhost i mozesz miec ich tyle ile zechcesz.(ale thttpd sie nie nadatylko apache) Co do sposobow Macka, to nie wiem czy nie prosciej jest w DHCP w range dac z 10 IP(jak ktos ma statyczne IP) i te IP przekierowac na vhosta z info. |
Autor: | CyberDuck [ środa, 23 września 2009, 23:07 ] |
Tytuł: | |
Ja wiem ze mozna na inny port tylko jesli ja nadam na innym porcie to czy inni to odbiora ... |
Autor: | rikardo7 [ czwartek, 24 września 2009, 00:00 ] |
Tytuł: | |
CyberDuck pisze: Ja wiem ze mozna na inny port tylko jesli ja nadam na innym
porcie to czy inni to odbiora ... jak sie polacza z AP a ty przekierujesz ich na ten port to odebrac powinni EDIT np. tak jak przekierowywuje sie squida. iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 1:65535 -j REDIRECT --to-port 192.168.0.1:2222 |
Autor: | Maciek [ czwartek, 24 września 2009, 11:08 ] |
Tytuł: | |
Taki dostęp realizowany jest zgodnie z zasadą HotSpot. To znaczy każdy klient dostaje ip i jest kierowany na stronę www zarządzaną przez odpowiedni mechanizm (np. chilli). Dopiero po zalogowaniu się (login + hasło lub samo hasło o charakterze pin) reguły iptables uruchamiają dostęp do sieci. Przy czym oczywiście łatwo to sobie w jakimś bardzo uproszczonym zakresie samemu zrobić w php (uwaga bezpieczeństwo iluzoryczne może być), ale porządny mechanizm ma też system ważności konta, czyli np. ile dany user może mieć dostęp i po jakim czasie np. będzie musiał się ponownie zalogować. Niektóre gorsze systemy, będą wymagały pozostawienia otwartego okna przeglądarki. BTW w mikrotiku ten mechanizm jest zaimplementowany, ale nie wiem co to jest. |
Autor: | -MW- [ czwartek, 24 września 2009, 11:22 ] |
Tytuł: | |
ja mam zrobione to tak ze kazdy klient w sieci ma statyczne ip, natomiast mam pewna pule adresow przypisywanych dynamicznie. czyli jesli dhcp nie znajdzie maca sieciowki host dostaje adres ip z puli dynamicznej, a te adresy sa przekierowane na port apache gdzie wstawiona jest z strona z informacja. caly ruch od hosta z puli dynamicznej jest zablokowany wiec netu miec nie bedzie. dziala to bardzo fajnie, postanowilem cos takiego wykombinowac azeby sprawdzic czy ludzie w sieci pojawiaja sie maci nie uprawnione. bez zbednych ceregieli i dodatkowych skryptow sledzacych maci w logach na wykresach mrtg widac ze cos ktos podlaczyl a wtedy moge sie zajac szukaniem i blokowaniem niechcianego maca. |
Autor: | CyberDuck [ czwartek, 24 września 2009, 12:06 ] |
Tytuł: | |
A jaka reguka przekierowac te adresy na inny port apache ? Ja mam takie 3 adresy z puli : czyli cos takiego ? : robie plik z wpisami tych adresow : i zapisuje go pod nazwa 'informowani' Teraz do firewall dopisuje : for IP in `cat /home/httpd/informowani | cut -d "#" -f1`;do $i -t nat -A PREROUTING -p tcp -s $IP -d ! 192.168.0.1 -j REDIRECT --to-port 210 $i -A FORWARD -p udp -s $IP -m ipp2p --ipp2p -j DROP $i -A PREROUTING -t nat -s $IP -p udp --dport 300:65535 -j DROP done I jesli sie pokaze ktos w sieci podlaczajac sie jako jeden z tych adresow to rozumiem, ze zostanie przekierowany na odpowiedni port tak ? A jesli uruchomi przegladarke to pokaze mu sie strona, ktora tam wloze. Hmmm, ale to jest zezwolenie na wpisanie mac. Czyli musze go normalnie dodac do regulek dhcp, zeby mial internet. |
Autor: | Saturas [ czwartek, 24 września 2009, 12:13 ] |
Tytuł: | |
for co in `cat /home/httpd/informowani';do iptables -t nat -A PREROUTING -s $co -p tcp --dport 1:65535 -j REDIRECT --to-port 192.168.0.1:210 done Chyba tak lepiej... IMHO można zrobić to inaczej, może łatwiej. Na forum jest "Panel administracyjny v2"(można wykorzystać też np.: Tablicę ogłoszeń TheL & Agbis), jest tam blokada użytkowników, dodajesz Maci do konfiguracji dhcp i blokujesz te IP, które mają być bez neta... Chyba o to +/- Wam chodzi? |
Autor: | CyberDuck [ czwartek, 24 września 2009, 12:55 ] |
Tytuł: | |
A no wlasnie zapomnialem napisac, ze konfiguruje sie na poecie 210 vhost czyli w /etc/httpd/conf/ dopisuje sie : listen 210 <VirtualHost 192.168.0.1:210> ServerAdmin cyberduck@bluelan.pl DocumentRoot /home/httpd/httpd/informowani ServerName info.bluelan.pl ErrorLog /var/log/httpd/blokada.bluelan.pl-error_log CustomLog /var/log/httpd/blokada.bluelan.pl-access_log common </VirtualHost> i, ze to tez wykorzystuje ten sam wlasnie pomysl blokowania zalegajacych Moj wpis przekierowuje jeden port na zadany, a reszte blokuje procz portu na ktorym dziala informacja. Twoj wszystkie przekierowuje na zadany ? |
Autor: | rikardo7 [ czwartek, 24 września 2009, 12:57 ] |
Tytuł: | |
sa AP w których możesz włączyć DHCP i zrobić takie przekierowanie na jakieś www ale nie pamietam modelu. |
Autor: | CyberDuck [ czwartek, 24 września 2009, 12:58 ] |
Tytuł: | |
No tak ale ja juz AP mam w sieci i raczej uniwersalniejsze rozwiazanie to wlasnie takie, ktore bedzie sterowalne z poziomu NND. |
Autor: | Maciek [ czwartek, 24 września 2009, 13:03 ] |
Tytuł: | |
Może napisz konkretnie do czego ci to i jaki efekt chcesz uzyskać, będzie łatwiej pomóc. |
Autor: | CyberDuck [ czwartek, 24 września 2009, 13:10 ] |
Tytuł: | |
No wlansie taki jak napisalem na samym poczatku. Co prawda rozwiazanie okazalo sie proste. Chcialem zeby to tak bylo jak wczesniej opisalem na haslo, ale w ten sposob jak pozniej sie okazalo tez moze byc ... Czyli. Kazdy kto sie podlaczy do routera WiFi i uruchomi przegladarke ujrzy informacje, ze jesli chce miec internet to musi sie skontaktowa ze mna . Co prawda okolica nie jest az tak bardzo uczeszczana, ale co tam ... Obok stoi hotel w centrum miasta. |
Autor: | CyberDuck [ czwartek, 24 września 2009, 21:26 ] |
Tytuł: | |
Jeszcze o czyms nie pomyslalem. Zeby ktos sie mogl polaczyc to musi byc WiFi odbezpieczone, a wiec praktycznie kazdy moze sie podlaczyc do takiej sieci ? |
Autor: | tasiorek [ czwartek, 24 września 2009, 22:05 ] |
Tytuł: | |
Kazdy moze sie podlaczy, kazdy moze podsluchac transmisje, kazdy moze zebrac sobie liste uprzywilejowanych mackow i podszyc sie pod jeden z nich. |
Autor: | CyberDuck [ czwartek, 24 września 2009, 22:13 ] |
Tytuł: | |
No to kiszka ... wobec tego takie rozwiazanie odpada. Co prawda mam wlaczony arp, ale jak wiadomo to slabe zabezpieczenie ... |
Autor: | Maciek [ czwartek, 24 września 2009, 22:25 ] |
Tytuł: | |
CyberDuck pisze: Jeszcze o czyms nie pomyslalem. Zeby ktos sie mogl
polaczyc to musi byc WiFi odbezpieczone, a wiec praktycznie kazdy moze sie podlaczyc do takiej sieci ? W przypadku wykorzystania chilli nie ma zabezpieczenia szyfrowaniem, a więc podsłuchac transmisje można. Ale dostać się do netu nie. Poznaie MACów i IP nic nie da bez loginu i hasła, a to już trudno podsłuchać bo leci przez SSL. |
Autor: | CyberDuck [ czwartek, 24 września 2009, 22:46 ] |
Tytuł: | |
No tak ale wtedy wszyscy uzytkownicy w sieci beda musieli stosowac haslo i login aby dostac sie do netu. Tak wiec jesli chcialbym pogodzic dotychczasowa siec normalnie dzialajaca z tym co chcialbym uzyskac to musialbym miedzy router NND i WiFi wstawic dodatkowy router NND i na tym dodatkowym ustawic chili |
Strona 1 z 2 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |