103928
14.12.2011, aktualisiert am 18.10.2012
8594
5
1
DD wrt Firewall iptables Regeln erstellen ips sperren accept und drop bereiche bestimmten seprates Wlan DHCP IP vergeben
http://www.dd-wrt.com/wiki/index.php/V24:_WLAN_separate_from_LAN,_with_ ...
Hier gibts eine Beschreibung wie man Wlan von Lan trennt und DHCP einrichtet. Ich brauche genau das selbe nur für 2 Wlans ich habe sozusagen ein Wlan intern ah0.0 und ein virtuelles Wlan Gäste ah0.1 und möchte genau das gleiche erreichen, dass die beiden voneinanderer getrennt sind und auf verschiedenen Subnetzten laufen
Ich habe eine Bridge auf der verschiedene Wlans sind. Der Firewall sollen jetzt Regeln übergeben werden damit bestimmte IPs oder IP-Bereiche für zum Beispiel das Wlan für Gäste ath0.1 gesperrt werden.
Der DHCP Server soll die IPs richtig vergeben
Current Bridging Table
Bridge Name STP enabled Interfaces
br0 no eth0 eth1 ath0 ath0.1 ath1 ath1.1
Dazu möchte ich mit der Firewall bestimmte regeln mit Iptables erstellen damit nicht jede IP einfach rein kann. Die Regeln werden auch schon
gesetzt in der dd wrt Firewall jedoch greifen sie irgendwie nicht richtig. Wenn ich also zum Beipiel im Menü- Administration- Commands folgendes eingebe:
iptables -A INPUT -i ath0.1 -s 10.10.1.1 -j ACCEPT
iptables -A OUTPUT -o ath0.1 -d 10.10.1.1 -j ACCEPT
iptables -A INPUT -i ath0.1 -s 10.10.5.3 -j ACCEPT
iptables -A OUTPUT -o ath0.1 -d 10.10.5.3 -j ACCEPT
iptables -A INPUT -i ath0.1 -s 10.10.2.101 -j DROP
iptables -A OUTPUT -o ath0.1 -d 10.10.2.101 -j DROP
um einen bestimmten Bereich zu droppen oder zu Akzeptieren wird es zwar eingetragen (iptables -L )bei der firewall vom dd wrt,
wenn ich jedoch versuche anzupingen, gibt es trotz gesperrter IP eine Antwort. Irgendwie greifen die Regeln scheinbar nicht richtig?
Habe ich noch falsche Commandos?! oder was mache ich falsch?
Muss ich irgendein Service noch einschalten, den ich vergessen habe?!
Gruß S
Dankeschön für die Hilfe!!
EDIT:
Die andere Variante die ich ausprobiert hatte hat auch nicht ganz funktioniert da hatte ich folgenedes Problem:
Thema: 2 W-lans voneinander getrennt mit Bridging, Kommunikation zwischen Bridge funzt noch net richtig bei der firewall? ddwrt Netgear
ich benutze dd wrt und habe 2 Wlans mit 2 Bridges br 0 und br1 erstellt :
Current Bridging Table
Bridge Name STP enabled Interfaces
br0 no eth0 eth1 ath0 ath1
br1 no ath0.1 ath1.1
Die Kommunikation zwischen den Brücken scheint noch nicht richtig zu funktionieren, da ich von meinem Laptop die IP nicht anpingen kann von der Firewall !?
Die Ips werden vom DHCP zwar schon richtig vergeben, allerdings scheint die kommunikation nicht richtig zu funktionieren, trotz dass ich folgende Befehle eingegeben habe beim dd wrt Menü- Administration- Commands :
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
wie hier beschrieben die Befehle eingegeben:
http://www.dd-wrt.com/wiki/index.php/Separate_LAN_and_WLAN
funzt jedoch auch net richtig
Hilfe!
Hier gibts eine Beschreibung wie man Wlan von Lan trennt und DHCP einrichtet. Ich brauche genau das selbe nur für 2 Wlans ich habe sozusagen ein Wlan intern ah0.0 und ein virtuelles Wlan Gäste ah0.1 und möchte genau das gleiche erreichen, dass die beiden voneinanderer getrennt sind und auf verschiedenen Subnetzten laufen
Ich habe eine Bridge auf der verschiedene Wlans sind. Der Firewall sollen jetzt Regeln übergeben werden damit bestimmte IPs oder IP-Bereiche für zum Beispiel das Wlan für Gäste ath0.1 gesperrt werden.
Der DHCP Server soll die IPs richtig vergeben
Current Bridging Table
Bridge Name STP enabled Interfaces
br0 no eth0 eth1 ath0 ath0.1 ath1 ath1.1
Dazu möchte ich mit der Firewall bestimmte regeln mit Iptables erstellen damit nicht jede IP einfach rein kann. Die Regeln werden auch schon
gesetzt in der dd wrt Firewall jedoch greifen sie irgendwie nicht richtig. Wenn ich also zum Beipiel im Menü- Administration- Commands folgendes eingebe:
iptables -A INPUT -i ath0.1 -s 10.10.1.1 -j ACCEPT
iptables -A OUTPUT -o ath0.1 -d 10.10.1.1 -j ACCEPT
iptables -A INPUT -i ath0.1 -s 10.10.5.3 -j ACCEPT
iptables -A OUTPUT -o ath0.1 -d 10.10.5.3 -j ACCEPT
iptables -A INPUT -i ath0.1 -s 10.10.2.101 -j DROP
iptables -A OUTPUT -o ath0.1 -d 10.10.2.101 -j DROP
um einen bestimmten Bereich zu droppen oder zu Akzeptieren wird es zwar eingetragen (iptables -L )bei der firewall vom dd wrt,
wenn ich jedoch versuche anzupingen, gibt es trotz gesperrter IP eine Antwort. Irgendwie greifen die Regeln scheinbar nicht richtig?
Habe ich noch falsche Commandos?! oder was mache ich falsch?
Muss ich irgendein Service noch einschalten, den ich vergessen habe?!
Gruß S
Dankeschön für die Hilfe!!
EDIT:
Die andere Variante die ich ausprobiert hatte hat auch nicht ganz funktioniert da hatte ich folgenedes Problem:
Thema: 2 W-lans voneinander getrennt mit Bridging, Kommunikation zwischen Bridge funzt noch net richtig bei der firewall? ddwrt Netgear
ich benutze dd wrt und habe 2 Wlans mit 2 Bridges br 0 und br1 erstellt :
Current Bridging Table
Bridge Name STP enabled Interfaces
br0 no eth0 eth1 ath0 ath1
br1 no ath0.1 ath1.1
Die Kommunikation zwischen den Brücken scheint noch nicht richtig zu funktionieren, da ich von meinem Laptop die IP nicht anpingen kann von der Firewall !?
Die Ips werden vom DHCP zwar schon richtig vergeben, allerdings scheint die kommunikation nicht richtig zu funktionieren, trotz dass ich folgende Befehle eingegeben habe beim dd wrt Menü- Administration- Commands :
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
wie hier beschrieben die Befehle eingegeben:
http://www.dd-wrt.com/wiki/index.php/Separate_LAN_and_WLAN
funzt jedoch auch net richtig
Hilfe!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177686
Url: https://administrator.de/forum/dd-wrt-firewall-iptables-regeln-erstellen-ips-sperren-accept-und-drop-bereiche-bestimmten-seprates-wlan-dhcp-177686.html
Ausgedruckt am: 01.05.2025 um 08:05 Uhr
5 Kommentare
Neuester Kommentar
Das funktioniert nicht mit einer Bridge, denn damit bist du ja gezwungen immer das gleiche IP Netz zu verwenden, denn eine Bridge verbindet beide Interfaces immer rein auf Layer 2 Basis, sprich auf Basis der Mac Adfressen.
Damit ist dann eine Firewall so oder so obsolet.
wenn dann geht das nur mit separaten Subinterfaces aber m.E. ist das mit DD-WRT nicht supported auf dem WLAN Interface und funktioniert nur auf dem LAN Port.
Wie man das da macht kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit ist dann eine Firewall so oder so obsolet.
wenn dann geht das nur mit separaten Subinterfaces aber m.E. ist das mit DD-WRT nicht supported auf dem WLAN Interface und funktioniert nur auf dem LAN Port.
Wie man das da macht kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
okay danke für den Tipp , also funktioniert es nur mit einem eingerichtetem Vlan, wie in der Beschreibung VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das heisst mit Bridging funktioniert das nicht mit 2 Subnetzen?! Ich dachte eben dass man der Bridge dann ein anderes Subnetz gibt. Okay also werde ich mal versuchen ein Vlan einzurichten, wenn es keine andere einfachere Möglichkeit gibt!?
Das heisst mit Bridging funktioniert das nicht mit 2 Subnetzen?! Ich dachte eben dass man der Bridge dann ein anderes Subnetz gibt. Okay also werde ich mal versuchen ein Vlan einzurichten, wenn es keine andere einfachere Möglichkeit gibt!?
ich habe jetzt versucht folgenedes Script zu benutzen http://www.pennock.nl/dd-wrt/Multiple_BSSIDs.html
wie kann ich jetzt prüfen ob das ganze funktioniert? habe noch kein Vlan benutzt, weil bei der Anleitung zum Vlan eine Registerkarte Vlan vorhanden ist in der ddwrt Firmware welche ich bei mir nicht finden kann unter Setup -
Wie kann ich nun testen ob das mit den ips richtig funktioniert? außerdem habe ich jetzt beim Wlan Extern keinen Internetzugriff..
Folgende Konfig habe ich jetzt :
Current Bridging Table
Bridge Name STP enabled Interfaces
br0 no eth0 eth1 ath0 ath1 ath1.1
br1 no ath0.1
und das tutorial vom oben dem link benutzt.
ich will dem router 2 ips geben in 2 unterschiedlichen subentzten
ist es dann richtig wenn die ips so ausseehn?
ips vom ersten wlan soll 10.10.5.1 und dhcp 10.10.5.100 anfang sozusagen
und das zweite 10.10.3.1 oder muss beim zweiten das so aussehen 10.11.3.1 ?! oder muss die 10 da stehen?
wie kann ich jetzt prüfen ob das ganze funktioniert? habe noch kein Vlan benutzt, weil bei der Anleitung zum Vlan eine Registerkarte Vlan vorhanden ist in der ddwrt Firmware welche ich bei mir nicht finden kann unter Setup -
Wie kann ich nun testen ob das mit den ips richtig funktioniert? außerdem habe ich jetzt beim Wlan Extern keinen Internetzugriff..
Folgende Konfig habe ich jetzt :
Current Bridging Table
Bridge Name STP enabled Interfaces
br0 no eth0 eth1 ath0 ath1 ath1.1
br1 no ath0.1
und das tutorial vom oben dem link benutzt.
ich will dem router 2 ips geben in 2 unterschiedlichen subentzten
ist es dann richtig wenn die ips so ausseehn?
ips vom ersten wlan soll 10.10.5.1 und dhcp 10.10.5.100 anfang sozusagen
und das zweite 10.10.3.1 oder muss beim zweiten das so aussehen 10.11.3.1 ?! oder muss die 10 da stehen?
ich kann bei mir in der v24 version nicht auf Vlan klicken das gibts bei mir nicht!!!! dann kann ich diese Anleitungne auch nicht durchgehen!? jemand nen tipp !?
Wie gesagt: VLANs sind auf dem WLAN HW Interface nicht supportet. Das kann die DD-WRT Platform nicht auch wenn du dich schwarz konfigurierst gibt das die HW nicht her.
Besser du nimmst eine Monowall oder pfSense mit einem ALIX Board und einer kleinen Mini PCI Karte.
Damit hast du auf allen Interfaces auch auf dem WLAN die VLAN Option. Oder du adaptierst einen ESSID zu VLAN Accesspoint dadran:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Besser du nimmst eine Monowall oder pfSense mit einem ALIX Board und einer kleinen Mini PCI Karte.
Damit hast du auf allen Interfaces auch auf dem WLAN die VLAN Option. Oder du adaptierst einen ESSID zu VLAN Accesspoint dadran:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
