Hi,
Van egy legkondi ami a Wi-Fi halozaton log es az applikaciojaval kivulrol is elerheto. Azt szeretnem, ha nem tudna kimenni az Internetre, de egyelore nem sikerult elernem.
A routeren LEDE-17.01 van ami egyebkent egy TP-Link TL-WDR4900.
A firewall beallitas:
/etc/config/firewall
config rule
option src_mac 'xx:xx:xx:xx:xx:xx'
option name 'ac_block'
option proto 'all'
option src '*'
option dest '*'
option target 'REJECT'
Eredetileg kevesbe volt strict, de most mar mindent maxra allitottam. Ennek ellenere, az applikacio mobilnetrol siman vezerli, illetve a tcpdump-ban is latom a csomagokat, ahogy mennek oda-vissza a legkondi meg a szerver kozott.
Luci alapon allitottam be, webesen igy nez ki:
Mit csinalok rosszul?
Koszi
- 433 megtekintés
Hozzászólások
Meg annyi, hogy idokozben beallitottam egy rule-t a sajat gepemre (ugyanazok a beallitasok, csak mas MAC), ha enabolalva van akkor valoban nem tudok kimenni a netre.
Legkondi IP-jet, MAC-jet tobbszor is megneztem, szerintem azt allitom be.
Felmerult, hogy nem csak egy MAC-je van es esetleg nem egy IP, de ezt nem hinnem, a tcpdump capture-t nezve (Wiresharkkal) az az IP es az a MAC.
Azt egyelore meg nem fogtam fel, hogy az applikacioban megnyomva egy gombot mi tortenik valojaban. Gondolom az app kuld valamit egy szervernek (gyanus, hogy Amazon Web Services alapu az egesz, mellesleg capture-bol ugy latszik a payload JSON plain textben). Mobilnetrol probalom, hogy ne legyek a belso halozaton. Szoval a keszuleknek ugye a szerver nem tud kuldeni, csak a keszulek tudja felepiteni a kapcsolatot, mivel NAT van. Es egyebkent ennek ellenere / ettol fuggetlenul igen gyors, az appban gombot nyomva nincs egy masodperc mire a legkondi csippan.
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
itt ugy latom egy csomag sem erte el a szabalyt
0 0 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC xx:xx:xx:xx:xx:xx /* !fw3: ac_block */
de lehet hogy azert, mert mar felepult a kapcsolat:
2737K 2643M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED /* !fw3 */
ha ujrainditod a routert?
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Koszi!
Ugy tunik az ujrainditas utan mukodik a szures:
375 16496 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC xx:xx:xx:xx:xx:x /* !fw3: ac_block */
Ami a szomorusag, hogy amint nem tud kimenni a netre, nem is mukodik rendesen :-(
Pl.:
64 bytes from 192.168.1.41: icmp_seq=280 ttl=255 time=549 ms
64 bytes from 192.168.1.41: icmp_seq=286 ttl=255 time=19.1 ms
From 192.168.1.1 icmp_seq=289 Destination Host Unreachable
From 192.168.1.1 icmp_seq=290 Destination Host Unreachable
From 192.168.1.1 icmp_seq=291 Destination Host Unreachable
From 192.168.1.1 icmp_seq=292 Destination Host Unreachable
From 192.168.1.1 icmp_seq=293 Destination Host Unreachable
From 192.168.1.1 icmp_seq=294 Destination Host Unreachable
64 bytes from 192.168.1.41: icmp_seq=296 ttl=255 time=870 ms
64 bytes from 192.168.1.41: icmp_seq=297 ttl=255 time=5.26 ms
64 bytes from 192.168.1.41: icmp_seq=307 ttl=255 time=544 ms
64 bytes from 192.168.1.41: icmp_seq=313 ttl=255 time=17.9 ms
From 192.168.1.1 icmp_seq=316 Destination Host Unreachable
From 192.168.1.1 icmp_seq=317 Destination Host Unreachable
From 192.168.1.1 icmp_seq=318 Destination Host Unreachable
From 192.168.1.1 icmp_seq=319 Destination Host Unreachable
From 192.168.1.1 icmp_seq=320 Destination Host Unreachable
From 192.168.1.1 icmp_seq=321 Destination Host Unreachable
64 bytes from 192.168.1.41: icmp_seq=323 ttl=255 time=731 ms
64 bytes from 192.168.1.41: icmp_seq=324 ttl=255 time=3.65 ms
64 bytes from 192.168.1.41: icmp_seq=334 ttl=255 time=658 ms
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
lehet nem tudja miert nem eri el, a legegyszerubb megoldasnak azt talaltak, ha ilyenkor ujrainditjak az interfeszt.
ha logolnad a dns query-t, nem latszana benne hogy csinal cimfeloldast? ha csak a cimfeloldasra nem kapna valaszt, akkor is igy reagalna? vagy masik valaszt kapna, mondjuk egy lokalis cimet.
illetve lehet hogy elrugaszkodott otlet, de legkondira nincs valami open firmware, mint okoskonnektorokra?
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Mondjuk nálam ez működik:
config rule
option dest 'wan'
option target 'DROP'
option name 'InterNET tiltasa'
option src '*'
list proto 'all'
list src_ip '192.168.170.61'
list src_ip '192.168.170.62'Próbáld meg első körben IP-vel.
Fedora 42, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
De miért nem a légkondiról törlöd a wifi ssid-jét?
- A hozzászóláshoz be kell jelentkezni
Nem ertem a kerdest.
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Nem tud kimenni a netre, ha nem tudja a SSID-t.
(csak tipp, de én így értettem)
“Any book worth banning is a book worth reading.”
- A hozzászóláshoz be kell jelentkezni
Gondolom LAN-on szeretné használni, csak a felhőt tiltaná.
- A hozzászóláshoz be kell jelentkezni
Igen, ez a lenyeg.
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Nekem amikor ilyen kellett, akkor DHCP-ben fixált IP-cím és arra a címre any/any tiltás a nagyvilág felé. Aztán ha el akartam érni "kintről", akkor VPN, és az alkalmazása már megtalálta a lokális bejelentkezés funkciójával.
- A hozzászóláshoz be kell jelentkezni
és az alkalmazása már megtalálta a lokális bejelentkezés funkciójával.
Erre majd nyitok egy ujabb topicot ;-)
Ugyanis mostmar az a gondom, hogy ha nem eri el a szervert, akkor lokalisan sem mukodik. El tudom kepzelni, hogy az app is es a legkondi is mindig a szerveren keresztul kommunikal, akkor is, ha egyebkent lokalisan elernek egymast :-(
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Gree?
- A hozzászóláshoz be kell jelentkezni
Igen, Gree.
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
A klíma és az app nem egymással beszélgetnek, hanem az eu[xx].as.gree.com vagy a na[xx].as.gree.com szerverrel.
- A hozzászóláshoz be kell jelentkezni
Igen erre gondoltam en is, illetve lattam, hogy a tcpdump capture is tartalmaz valami hasonlot.
Viszont Home Assistantbol is tudom kezelni, de az nem a szerverhez csatlakozik, hanem kozvetlenul a legkondi IP-jere.
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
kiprobaltad mar mit csinal, ha a *.gree.com masik ip cimet ad vissza mint most?
neked aztan fura humorod van...
- A hozzászóláshoz be kell jelentkezni
Ezt ki fogom probalni.
Jelenleg csak remote ferek hozza a routrerhez, nagyon nem akarom elbutykolni, nehogy kizarjam magam ;-)
Elosszor a hosts file-lal probalkoztam, de ott ugy latom nem mukodik a wildcards, utana a dnsmasqot probaltam beallitani, olyat talaltam, hogy pl. "address=/.gree.com/127.0.0.1" de OpenWRT-nel nekem a /etc/config/dhcp file-ban kellene megadni, ami egyutt kezeli a dhcp es a dnsmasq beallitasokat, viszont ott gondolom ugy kellene, hogy "option address '.gree.com/127.0.0.1'" - de ez egyelore nem latszik mukodni.
Ha lokaisan el tudom erni a routert akkor tovabb probalkozok.
Edit: az /etc/dnsmasq.conf file-ban mukodik, de azert elegansabbnak ereznem, ha az /etc/config/dhcp-ben lenne - viszont azt hiszem a legkondit majd ujra kell inditani, de az tavolrol nem megy.
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
Miért akarod kizárni a felhőt. (Tökéletesen megértem én is kizárnám.) Védeni a saját hálózatodat?
Én is most szereztem be egy Gree klímát és ezzel a problémával én is szembesültem. Elsőre az a megoldás jött nekem szembe, igaz, hogy nem a legoptimálisabb, hogy a klímát a vendég wifire teszem, így a saját hálózatomba nem engedek be a légkondival senkit.
Ez szerintetek működőképes megoldás lehet?
Üdv,
P3nész
- A hozzászóláshoz be kell jelentkezni
Ket dolog, igen egyreszt ne legyen a halozatomon olyan cucc ami ki tudja mint csinal, miket kuldozget. A klimanak kulon ESSID van, kulon passworddel, de mivel Home Assitantbol szeretnem kezelni, kell kapcsolat a halozat tobbi reszevel.
Masreszt, ha teljesen le is valasztanam a "belso" dolgokrol, akkor is zavar, hogy az osszes info (mikor van bekapcsolva, hany fok van bent, akarmi) kimegy a sajat halozabol, illetve tavolrol kepes lehet valaki iranyitani a keszuleket pl. a tudtom nelkul.
Ja, es van egy harmadik is: a Gree ugyan eleg nagy, de vele is megtortenhet ami a kisebbekkel mar nem egyszer elofordult, hogy becsodolnek es onnantol kezdve nem tudod hasznalni a cuccot (sot, volt olyan is (nem legkondis) aki nem szunt meg csak lekapcsolta par ev utan a szolgaltatast mert nem volt rentabilis, az emberek meg ott maradtak a hasznalhatatlan keszulekeikkel).
/sza2
Digital? Every idiot can count to one - Bob Widlar
- A hozzászóláshoz be kell jelentkezni
A tiltani kívánt eszköz mac address-ét helyettesítsd be az alábbi szabályba:
config rule
option name 'Block device'
option src 'wan'
list src_mac 'xx:xx:xx:xx:xx:xx'
option dest 'lan'
option target 'REJECT'
option enabled '1'
A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.
- A hozzászóláshoz be kell jelentkezni
Ez a MAC alapú szűrés csak IPv4-en működik; ha lesz v6-od akkor mindenképp IP cím / DNS alapján kell blokkolni.
- A hozzászóláshoz be kell jelentkezni