[Megoldva (a csomagszures, helyette uj problema)] OpenWRT Internet eleres tiltasa egy eszkoznek

Hi,

 

Van egy legkondi ami a Wi-Fi halozaton log es az applikaciojaval kivulrol is elerheto. Azt szeretnem, ha nem tudna kimenni az Internetre, de egyelore nem sikerult elernem.

A routeren LEDE-17.01 van ami egyebkent egy TP-Link TL-WDR4900.

A firewall beallitas:

/etc/config/firewall

config rule
	option src_mac 'xx:xx:xx:xx:xx:xx'
	option name 'ac_block'
	option proto 'all'
	option src '*'
	option dest '*'
	option target 'REJECT'

Eredetileg kevesbe volt strict, de most mar mindent maxra allitottam. Ennek ellenere, az applikacio mobilnetrol siman vezerli, illetve a tcpdump-ban is latom a csomagokat, ahogy mennek oda-vissza a legkondi meg a szerver kozott.

Luci alapon allitottam be, webesen igy nez ki:

https://ibb.co/McpdD2J

Mit csinalok rosszul?

Koszi

Hozzászólások

mit mond ez?

iptables -L -v -n

neked aztan fura humorod van...

https://pastebin.com/TiR0J4y6

Meg annyi, hogy idokozben beallitottam egy rule-t a sajat gepemre (ugyanazok a beallitasok, csak mas MAC), ha enabolalva van akkor valoban nem tudok kimenni a netre.

Legkondi IP-jet, MAC-jet tobbszor is megneztem, szerintem azt allitom be.

Felmerult, hogy nem csak egy MAC-je van es esetleg nem egy IP, de ezt nem hinnem, a tcpdump capture-t nezve (Wiresharkkal) az az IP es az a MAC.

Azt egyelore meg nem fogtam fel, hogy az applikacioban megnyomva egy gombot mi tortenik valojaban. Gondolom az app kuld valamit egy szervernek (gyanus, hogy Amazon Web Services alapu az egesz, mellesleg capture-bol ugy latszik a payload JSON plain textben). Mobilnetrol probalom, hogy ne legyek a belso halozaton. Szoval a keszuleknek ugye a szerver nem tud kuldeni, csak a keszulek tudja felepiteni a kapcsolatot, mivel NAT van. Es egyebkent ennek ellenere / ettol fuggetlenul igen gyors, az appban gombot nyomva nincs egy masodperc mire a legkondi csippan.

/sza2

Digital? Every idiot can count to one - Bob Widlar

itt ugy latom egy csomag sem erte el a szabalyt

0 0 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 MAC xx:xx:xx:xx:xx:xx /* !fw3: ac_block */

de lehet hogy azert, mert mar felepult a kapcsolat:

2737K 2643M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED /* !fw3 */

ha ujrainditod a routert?

neked aztan fura humorod van...

Koszi!

 

Ugy tunik az ujrainditas utan mukodik a szures:
 

  375 16496 zone_wan_dest_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC xx:xx:xx:xx:xx:x /* !fw3: ac_block */

 

Ami a szomorusag, hogy amint nem tud kimenni a netre, nem is mukodik rendesen :-(

Pl.:

64 bytes from 192.168.1.41: icmp_seq=280 ttl=255 time=549 ms
64 bytes from 192.168.1.41: icmp_seq=286 ttl=255 time=19.1 ms
From 192.168.1.1 icmp_seq=289 Destination Host Unreachable
From 192.168.1.1 icmp_seq=290 Destination Host Unreachable
From 192.168.1.1 icmp_seq=291 Destination Host Unreachable
From 192.168.1.1 icmp_seq=292 Destination Host Unreachable
From 192.168.1.1 icmp_seq=293 Destination Host Unreachable
From 192.168.1.1 icmp_seq=294 Destination Host Unreachable
64 bytes from 192.168.1.41: icmp_seq=296 ttl=255 time=870 ms
64 bytes from 192.168.1.41: icmp_seq=297 ttl=255 time=5.26 ms
64 bytes from 192.168.1.41: icmp_seq=307 ttl=255 time=544 ms
64 bytes from 192.168.1.41: icmp_seq=313 ttl=255 time=17.9 ms
From 192.168.1.1 icmp_seq=316 Destination Host Unreachable
From 192.168.1.1 icmp_seq=317 Destination Host Unreachable
From 192.168.1.1 icmp_seq=318 Destination Host Unreachable
From 192.168.1.1 icmp_seq=319 Destination Host Unreachable
From 192.168.1.1 icmp_seq=320 Destination Host Unreachable
From 192.168.1.1 icmp_seq=321 Destination Host Unreachable
64 bytes from 192.168.1.41: icmp_seq=323 ttl=255 time=731 ms
64 bytes from 192.168.1.41: icmp_seq=324 ttl=255 time=3.65 ms
64 bytes from 192.168.1.41: icmp_seq=334 ttl=255 time=658 ms

/sza2

Digital? Every idiot can count to one - Bob Widlar

lehet nem tudja miert nem eri el, a legegyszerubb megoldasnak azt talaltak, ha ilyenkor ujrainditjak az interfeszt.

ha logolnad a dns query-t, nem latszana benne hogy csinal cimfeloldast? ha csak a cimfeloldasra nem kapna valaszt, akkor is igy reagalna? vagy masik valaszt kapna, mondjuk egy lokalis cimet.

illetve lehet hogy elrugaszkodott otlet, de legkondira nincs valami open firmware, mint okoskonnektorokra?

neked aztan fura humorod van...

Mondjuk nálam ez működik:

config rule
        option dest 'wan'       
        option target 'DROP'
        option name 'InterNET tiltasa'
        option src '*'      
        list proto 'all'      
        list src_ip '192.168.170.61'
        list src_ip '192.168.170.62'

Próbáld meg első körben IP-vel.

Fedora 37, Thinkpad x280

De miért nem a légkondiról törlöd a wifi ssid-jét?

és az alkalmazása már megtalálta a lokális bejelentkezés funkciójával.

Erre majd nyitok egy ujabb topicot ;-)

Ugyanis mostmar az a gondom, hogy ha nem eri el a szervert, akkor lokalisan sem mukodik. El tudom kepzelni, hogy az app is es a legkondi is mindig a szerveren keresztul kommunikal, akkor is, ha egyebkent lokalisan elernek egymast :-(

/sza2

Digital? Every idiot can count to one - Bob Widlar

A klíma és az app nem egymással beszélgetnek, hanem az eu[xx].as.gree.com vagy a na[xx].as.gree.com szerverrel.

Ezt ki fogom probalni.

 

Jelenleg csak remote ferek hozza a routrerhez, nagyon nem akarom elbutykolni, nehogy kizarjam magam ;-)

Elosszor a hosts file-lal probalkoztam, de ott ugy latom nem mukodik a wildcards, utana a  dnsmasqot probaltam beallitani, olyat talaltam, hogy pl. "address=/.gree.com/127.0.0.1" de OpenWRT-nel nekem a /etc/config/dhcp file-ban kellene megadni, ami egyutt kezeli a dhcp es a dnsmasq beallitasokat, viszont ott gondolom ugy kellene, hogy "option address '.gree.com/127.0.0.1'" - de ez egyelore nem latszik mukodni.

Ha lokaisan el tudom erni a routert akkor tovabb probalkozok.

 

Edit: az /etc/dnsmasq.conf file-ban mukodik, de azert elegansabbnak ereznem, ha az /etc/config/dhcp-ben lenne - viszont azt hiszem a legkondit majd ujra kell inditani, de az tavolrol nem megy.

/sza2

Digital? Every idiot can count to one - Bob Widlar

Miért akarod kizárni a felhőt. (Tökéletesen megértem én is kizárnám.) Védeni a saját hálózatodat?

Én is most szereztem be egy Gree klímát és ezzel a problémával én is szembesültem. Elsőre az a megoldás jött nekem szembe, igaz, hogy nem a legoptimálisabb, hogy a klímát a vendég wifire teszem, így a saját hálózatomba nem engedek be a légkondival senkit. 

Ez szerintetek működőképes megoldás lehet?

 

Üdv,

P3nész

Ket dolog, igen egyreszt ne legyen a halozatomon olyan cucc ami ki tudja mint csinal, miket kuldozget. A klimanak kulon ESSID van, kulon passworddel, de mivel Home Assitantbol szeretnem kezelni, kell kapcsolat a halozat tobbi reszevel.

Masreszt, ha teljesen le is valasztanam a "belso" dolgokrol, akkor is zavar, hogy az osszes info (mikor van bekapcsolva, hany fok van bent, akarmi) kimegy a sajat halozabol, illetve tavolrol kepes lehet valaki iranyitani a keszuleket pl. a tudtom nelkul.

Ja, es van egy harmadik is: a Gree ugyan eleg nagy, de vele is megtortenhet ami a kisebbekkel mar nem egyszer elofordult, hogy becsodolnek es onnantol kezdve nem tudod hasznalni a cuccot (sot, volt olyan is (nem legkondis) aki nem szunt meg csak lekapcsolta par ev utan a szolgaltatast mert nem volt rentabilis, az emberek meg ott maradtak a hasznalhatatlan keszulekeikkel).

/sza2

Digital? Every idiot can count to one - Bob Widlar

A tiltani kívánt eszköz mac address-ét helyettesítsd be az alábbi szabályba:

config rule
	option name 'Block device'
	option src 'wan'
	list src_mac 'xx:xx:xx:xx:xx:xx'
	option dest 'lan'
	option target 'REJECT'
	option enabled '1'

A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.

Ez a MAC alapú szűrés csak IPv4-en működik; ha lesz v6-od akkor mindenképp IP cím / DNS alapján kell blokkolni.