Fórumok
Hi,
Van egy legkondi ami a Wi-Fi halozaton log es az applikaciojaval kivulrol is elerheto. Azt szeretnem, ha nem tudna kimenni az Internetre, de egyelore nem sikerult elernem.
A routeren LEDE-17.01 van ami egyebkent egy TP-Link TL-WDR4900.
A firewall beallitas:
/etc/config/firewall
config rule
option src_mac 'xx:xx:xx:xx:xx:xx'
option name 'ac_block'
option proto 'all'
option src '*'
option dest '*'
option target 'REJECT'
Eredetileg kevesbe volt strict, de most mar mindent maxra allitottam. Ennek ellenere, az applikacio mobilnetrol siman vezerli, illetve a tcpdump-ban is latom a csomagokat, ahogy mennek oda-vissza a legkondi meg a szerver kozott.
Luci alapon allitottam be, webesen igy nez ki:
Mit csinalok rosszul?
Koszi
Hozzászólások
mit mond ez?
iptables -L -v -n
neked aztan fura humorod van...
https://pastebin.com/TiR0J4y6
Meg annyi, hogy idokozben beallitottam egy rule-t a sajat gepemre (ugyanazok a beallitasok, csak mas MAC), ha enabolalva van akkor valoban nem tudok kimenni a netre.
Legkondi IP-jet, MAC-jet tobbszor is megneztem, szerintem azt allitom be.
Felmerult, hogy nem csak egy MAC-je van es esetleg nem egy IP, de ezt nem hinnem, a tcpdump capture-t nezve (Wiresharkkal) az az IP es az a MAC.
Azt egyelore meg nem fogtam fel, hogy az applikacioban megnyomva egy gombot mi tortenik valojaban. Gondolom az app kuld valamit egy szervernek (gyanus, hogy Amazon Web Services alapu az egesz, mellesleg capture-bol ugy latszik a payload JSON plain textben). Mobilnetrol probalom, hogy ne legyek a belso halozaton. Szoval a keszuleknek ugye a szerver nem tud kuldeni, csak a keszulek tudja felepiteni a kapcsolatot, mivel NAT van. Es egyebkent ennek ellenere / ettol fuggetlenul igen gyors, az appban gombot nyomva nincs egy masodperc mire a legkondi csippan.
/sza2
Digital? Every idiot can count to one - Bob Widlar
itt ugy latom egy csomag sem erte el a szabalyt
0 0 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC xx:xx:xx:xx:xx:xx /* !fw3: ac_block */
de lehet hogy azert, mert mar felepult a kapcsolat:
2737K 2643M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED /* !fw3 */
ha ujrainditod a routert?
neked aztan fura humorod van...
Koszi!
Ugy tunik az ujrainditas utan mukodik a szures:
Ami a szomorusag, hogy amint nem tud kimenni a netre, nem is mukodik rendesen :-(
Pl.:
/sza2
Digital? Every idiot can count to one - Bob Widlar
lehet nem tudja miert nem eri el, a legegyszerubb megoldasnak azt talaltak, ha ilyenkor ujrainditjak az interfeszt.
ha logolnad a dns query-t, nem latszana benne hogy csinal cimfeloldast? ha csak a cimfeloldasra nem kapna valaszt, akkor is igy reagalna? vagy masik valaszt kapna, mondjuk egy lokalis cimet.
illetve lehet hogy elrugaszkodott otlet, de legkondira nincs valami open firmware, mint okoskonnektorokra?
neked aztan fura humorod van...
Mondjuk nálam ez működik:
Próbáld meg első körben IP-vel.
Fedora 38, Thinkpad x280
De miért nem a légkondiról törlöd a wifi ssid-jét?
Nem ertem a kerdest.
/sza2
Digital? Every idiot can count to one - Bob Widlar
Nem tud kimenni a netre, ha nem tudja a SSID-t.
(csak tipp, de én így értettem)
“Any book worth banning is a book worth reading.”
Gondolom LAN-on szeretné használni, csak a felhőt tiltaná.
Igen, ez a lenyeg.
/sza2
Digital? Every idiot can count to one - Bob Widlar
Nekem amikor ilyen kellett, akkor DHCP-ben fixált IP-cím és arra a címre any/any tiltás a nagyvilág felé. Aztán ha el akartam érni "kintről", akkor VPN, és az alkalmazása már megtalálta a lokális bejelentkezés funkciójával.
Erre majd nyitok egy ujabb topicot ;-)
Ugyanis mostmar az a gondom, hogy ha nem eri el a szervert, akkor lokalisan sem mukodik. El tudom kepzelni, hogy az app is es a legkondi is mindig a szerveren keresztul kommunikal, akkor is, ha egyebkent lokalisan elernek egymast :-(
/sza2
Digital? Every idiot can count to one - Bob Widlar
Gree?
Igen, Gree.
/sza2
Digital? Every idiot can count to one - Bob Widlar
A klíma és az app nem egymással beszélgetnek, hanem az eu[xx].as.gree.com vagy a na[xx].as.gree.com szerverrel.
Igen erre gondoltam en is, illetve lattam, hogy a tcpdump capture is tartalmaz valami hasonlot.
Viszont Home Assistantbol is tudom kezelni, de az nem a szerverhez csatlakozik, hanem kozvetlenul a legkondi IP-jere.
/sza2
Digital? Every idiot can count to one - Bob Widlar
kiprobaltad mar mit csinal, ha a *.gree.com masik ip cimet ad vissza mint most?
neked aztan fura humorod van...
Ezt ki fogom probalni.
Jelenleg csak remote ferek hozza a routrerhez, nagyon nem akarom elbutykolni, nehogy kizarjam magam ;-)
Elosszor a hosts file-lal probalkoztam, de ott ugy latom nem mukodik a wildcards, utana a dnsmasqot probaltam beallitani, olyat talaltam, hogy pl. "address=/.gree.com/127.0.0.1" de OpenWRT-nel nekem a /etc/config/dhcp file-ban kellene megadni, ami egyutt kezeli a dhcp es a dnsmasq beallitasokat, viszont ott gondolom ugy kellene, hogy "option address '.gree.com/127.0.0.1'" - de ez egyelore nem latszik mukodni.
Ha lokaisan el tudom erni a routert akkor tovabb probalkozok.
Edit: az /etc/dnsmasq.conf file-ban mukodik, de azert elegansabbnak ereznem, ha az /etc/config/dhcp-ben lenne - viszont azt hiszem a legkondit majd ujra kell inditani, de az tavolrol nem megy.
/sza2
Digital? Every idiot can count to one - Bob Widlar
Miért akarod kizárni a felhőt. (Tökéletesen megértem én is kizárnám.) Védeni a saját hálózatodat?
Én is most szereztem be egy Gree klímát és ezzel a problémával én is szembesültem. Elsőre az a megoldás jött nekem szembe, igaz, hogy nem a legoptimálisabb, hogy a klímát a vendég wifire teszem, így a saját hálózatomba nem engedek be a légkondival senkit.
Ez szerintetek működőképes megoldás lehet?
Üdv,
P3nész
Ket dolog, igen egyreszt ne legyen a halozatomon olyan cucc ami ki tudja mint csinal, miket kuldozget. A klimanak kulon ESSID van, kulon passworddel, de mivel Home Assitantbol szeretnem kezelni, kell kapcsolat a halozat tobbi reszevel.
Masreszt, ha teljesen le is valasztanam a "belso" dolgokrol, akkor is zavar, hogy az osszes info (mikor van bekapcsolva, hany fok van bent, akarmi) kimegy a sajat halozabol, illetve tavolrol kepes lehet valaki iranyitani a keszuleket pl. a tudtom nelkul.
Ja, es van egy harmadik is: a Gree ugyan eleg nagy, de vele is megtortenhet ami a kisebbekkel mar nem egyszer elofordult, hogy becsodolnek es onnantol kezdve nem tudod hasznalni a cuccot (sot, volt olyan is (nem legkondis) aki nem szunt meg csak lekapcsolta par ev utan a szolgaltatast mert nem volt rentabilis, az emberek meg ott maradtak a hasznalhatatlan keszulekeikkel).
/sza2
Digital? Every idiot can count to one - Bob Widlar
A tiltani kívánt eszköz mac address-ét helyettesítsd be az alábbi szabályba:
A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.
Ez a MAC alapú szűrés csak IPv4-en működik; ha lesz v6-od akkor mindenképp IP cím / DNS alapján kell blokkolni.