Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

21 Cze 2011 00:10 9111 12
  • Poziom 9  
    Witam,
    przeglądałem już wszystkie możliwe strony w poszukiwaniu rozwiązania mojego problemu i niestety bez rezultatu.

    Otóż posiadam w.w router i trzy komputery w sieci (1xLAN, 2xWLAN). Chciałbym jednemu z nich (WLAN) zablokować całkowicie dostęp do internetu (www i programy w stylu skype, gg i inne nie korzystające z przeglądarki) ale pozostawić go w sieci domowej m.i. do dzielnia się udostępnionymi folderami.

    Router posiada zakładkę Wireless/Wireless MAC Filtering ale ta opcja jak mi się wydaje całkowicie zabrania/zezwala na połączenie z routerem.

    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    Jest jeszcze zakładka ACCESS CONTROL,

    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    w której jak mi się wydaje za wiele nie można podziałać...
    Ograniczyłem się do zablokowania możliwości przeglądania stron www, gdzie jako blokowaną domenę wpisałem samą kropkę.
    Ale co z portami dla innych programów?

    Z góry dziękuję za pomoc.
  • Specjalista Sieci, Internet
    Pokaż wszystko na tej stronie i pokaż szczegóły wpisów.
  • Poziom 9  
    Zamieszczam screen-shot'y (1280x1024):

    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    Powiedzmy, że chciałbym ograniczyć dostęp do wszelkich usług internetowych dla karty USB wifi o MAC'u 54-E6-FC-92-9C-7C.
  • Poziom 9  
    Oczywiście miałem tą opcję zaznaczoną ale tyle co udało mi się zablokować to tylko strony web'owe wg. poniższej reguły Access Target (blokowania domen).

    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    Akturat metodą prób i błedów doszedłem do tego, że kropka zastępuje wszystkie domeny (wcześniejsze próby to .com .pl itp)

    Małe mam pojęcie na temat portów, nie wiem jaki (cyfrowy) zakres obejmują, czy ich blokowanie może mieć nagatywny wpływ na wymianę danych po sieci lokalnej i do jakiego rodzaju protokołu mam je przypisać (TCP, UDP, ICMP or ALL).
    Poniżej reguła Access Target do blokowania portów:

    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    Podejrzewam, że jeszcze ta reguła to klucz do rozwiązania mojego problemu.
    (na marginesie: czy jest jeszcze jakaś inna, prostsza opcja blokowania dostępu w router'ach innych firm?)
  • Specjalista Sieci, Internet
    Mode = IP Address
    nie jestem pewny jak z innymi polami
    IP address = 0.0.0.0 - 255.255.255.255
    Target Port = 0 - 65535
    protocol = all
  • Poziom 9  
    Pamiętam, że przy wpisywaniu portów od 1 do 65535 mimo wszystko router miał "ale" (screenshot podeślę popołudniu bo aktualnie jestem w pracy). Mimo wszystko spróbuję raz jeszcze i podzielę się wynikami.

    Poza tym na początku powinienem dorzucić link do symulatora mojego routera: http://www.tp-link.com/simulator/TL-MR3420/Index.htm
  • Specjalista Sieci, Internet
    Po namyśle, Target reguła nie będzie dobry, to blokuje dla wszystkich maszyn z LAN-u,
    W./g mnie

    Access Control/Host/Add... i wpisujesz IP lub MAC komputera z LANu i wybierasz Deny.
  • Poziom 9  
    (oświeciło mnie...)

    W skład głównej reguły kontroli dostępu wchodzą 3 reguły
    - Host (komputer bądz szereg komputerów obejmowanych regułą. Definicje do MACu lub zakres po IP)
    - Target (definicje domen lub portów, które będą obejmowały w.w. hosty)
    - Schedule (definicje czasu i dni tygodnia kiedy dana reguła ma być aktywna)
    Oczywiście mogę stworzyć wiele reguł (co do ilości nie wiem jakie są ograniczenia).

    ale... nie jest powiedziane, że muszę definiować Target i Schedule - czego wcześniej nie zauważyłem, ponieważ przy definicji reguły "wystraszyły" mnie czerwone opisy po prawej stronie pola wyboru. I tak:

    -zdefiniowałem Hosta:
    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    -utworzyłem regułę bez Target i Schedule:
    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    -załączyłem opcję kontroli dostępu z zezwoleniem na połączenie dla komputerów nie spełniających utworzonych kryteriów:
    Router 3G (TPLINK TL-MR3420) a konfigurowanie dostępu do internetu indywidualnie

    Z przeprowadzonych testów wynika, że wszystko działa po mojej myśli.
    Powinno (jak myślę) działać to w zanegowanej formie, tzn. wszystkie "obce" komputery nie mają dostępu a te "swoje", które będą objęte regułą będą miały pełny dostęp do internetu.
    Co do sieci lokalnej to raczej działa, ponieważ na MACu objętym regułą dostępu miałem dostęp do konfiguracji routera (potwierdzę wieczorem).
  • Poziom 9  
    ((( przepraszam ewentualnych forumowiczów oczekujących na odpowiedź co do tematu LAN... niby działa niby nie, ale nie wiem teraz czy to wina WIN XP czy ustawień router'a. Aktualne moje tematy pochłaniające czas to praca (7/7), dom i dvd authoring materiałów AV i foto z wesela )))... Nie pozostawię tego postu bez konkretnej odpowiedzi, proszę o cierpliwość.
  • Poziom 9  
    Znalazłem trochę czasu na testy, więc oczywiście potwierdzam prawidłowe działanie do w.w. działań pod warunkiem prawidłowej konfiguracji firewall'a z każdej ze stron.


    Element, który w trakcie testów w temacie połączeń burzył mi porządek w sieci lokalnej to poza-windowsowy firewall (sygate personal firewall pro 5.6) przy którym nie potrafię znaleźć jednej z kilku aplikacji odpowiadającej za "ruch" (WinXP)

    Elementy odblokowane na stałe:
    Jądro i system NT, LSA Shell, NDIS User mode I/O Driver, TCP/IP Ping, Usługi i aplikacja Kontroler, ntoskrnl.exe, lsass.exe, svchost.exe, alg.exe, Generic Host Process for Win32 Services.

    Elementy oczekujące na zapytanie przy próbie połączenia (nie wyskakuje okno z pytaniem, czyli te aplikacje raczej nie biorą udziału):
    certsrv, dfssvc, DNS, inetinfo, ismserv, llssrv, lserver, mstask, ntfrs, snmp, termsrv, WINS, Client Server Runtime Process, Message Queuing Service, TCP/IP Services Aplication, WMI, Eksplorator Windows

    Co najciekawsze - w elementach zablokowanych nie mam żadnej aplikacji pochodzącej z systemu Windows, jedynie blokuję nowozainstalowane aplikacje, które np. sprawdzają aktualizację lub powiedzmy potocznie pochodzenie "wersji demo" :)
    Natomiast po odblokowaniu połączeń dla wszystkich aplikacji (allow all) ruch po LAN'ie jest widoczny (np. w postaci udostępnionych drukarek i folderów).

    Czy ktoś jest w stanie napisać (lekko poza tematem postu, ale mimo wszystko nawiązującym do całkowitego rozwiązania mojego problemu), która aplikacja (raczej z tych oczekujących na zapytanie) może wchodzić w skład tych odpowiedzialnych za ruch w sieci lokalnej?
  • Poziom 43  
    Ja tu widzę tylko w rozwiazaniu problemu alternatywny FW - OpenWRT, DD-WRT i iptables + ARP binding
  • Poziom 9  
    Wszystko działa jak najlepiej wg. powyższych rozwiązań. Problem oczywiście miałem w zaporze. Na komputerze z zainstalowaną zaporą blokowane są połączenia przychodzące z sieci lokalnej i niestety bez możliwości personalizacji. Pozostaje mi tylko wymienić zaporę.