Filtrowanie przez mac w routerze.

[CrashJack]

Jaka jest różnica w tych ustawieniach filtrowania mac ? Bo w zakładce 2.4GHz-->ACL oraz FIREWALL-->ACCES można dodać karty.

Wczoraj w zakładce FIREWALL-->ACCES, włączyłem, i zrobiłem od razu reboot, i potem nie miałem internetu, bo nie dodałem przed zrebootowaniem swojej karty sieciowej. Musiałem cały router zresetować przyciskiem na obudowie. Było zaznaczone 'denny', może żebym zaznaczył od razu 'allow' to bym miał internet bez dodawania mac'ów?

A w zakładce 2.4GHz-->ACL, nie było takiego problemu.

I czy najpierw trzeba dodać adres mac karty, potem włączyć tę opcję a następnie zrebootować ?

I o co chodzi z filtrowanie po IP ? Podaje zakres IP np 192.168.0.1-192.168.0.10 i będzie tylko 10 komputerów/urządzeń mogło się podłączyć do router'a ? Czy jak to działa?

[Jo_gurt]

CrashJack, co chcesz osiągnąć?
Opisów byś chociaż nie przycinał ze screenów

Zacznę od wireless access, bo to prostsze: definiujesz listę adresów MAC, które będą mogły się łączyć z AP. Każdy inny adres MAC jest odrzucany. Jasna sprawa, zabezpieczenie słabe, bo można zmieniać MACi karty sieciowej w prosty sposób. Nie warto sobie tą zakładką zaprzątać głowy.

Filtr MAC w firewallu działa podobnie, ale możesz wybrać czy MACi na liście mają mieć dostęp (Allow), a wszystkie inne będą blokowane, czy MACi na liście mają być blokowane (Deny) a reszta ma domyślnie dostęp.
Niejasne jest dla mnie - dostęp do czego. W sensie czy chodzi o blokadę na switchu (czyli blokujemy ruch w LAN między komputerami) czy tylko przechodzący dalej, przez router.

Filtr IP jest analogiczny do filtra MAC na firewallu, z tym że chodzi już raczej tylko o to jaki ruch może lub nie może przejść przez router.

[CrashJack]

Dzięki za odpowiedź
Chodziło mi o to, że nie było dostępu do internetu, nawet strona konfiguracyjna nie działała. W zasobniku był żółty wykrzyknik, ale ruch był generowany tzn. widziałem, jak pakiety były wysyłane i odbierane, czyli było połączenie między komputerami w sieci wlan.

Wiem, że mac można zmienić łatwo, ale kto nie zna się to będzie miał problem. Jak już ma się zabezpieczenie WEP, gdzie wektory łatwo jest przechwycić to mac też pójdzie.

Czytam o tych zabezpieczeniach, i nie wiem jakie inne zabezpieczenie dać prócz wpa2-aes'a i ew. schowanie Essid'a. WPS mam wyłączone. Sieć gości mam wyłączone. Firewall mam włączony. DMZ wyłączone. DOS włączone. NAT włączony. UPnP włączone. Jeszcze mam włączone Sitecom Cloud Security na 6 miesięcy gratis.

Moja sieć jest na kanale 11. - nie wiem czy poprawnie, tzn. tak powinno być. Bo gdzieś widziałem/czytałem, że inne sieci są na innym kanale i ruch na tym samym kanale jest ogromny i są zakłócenia.

Może tutaj da się np zmniejszyć siłę sygnału, tak aby tylko w moim zakresie starczyło, bądź coś jeszcze zmienić ?

NO tak, obcięte komentarze, no bo screen by przekroczył wielkość dopuszczalną, więc musiałem się zmieścić w limicie ;p

[Jo_gurt]

Czytam o tych zabezpieczeniach, i nie wiem jakie inne zabezpieczenie dać prócz wpa2-aes'a i ew. schowanie Essid'a. WPS mam wyłączone. Sieć gości mam wyłączone. Firewall mam włączony. DMZ wyłączone. DOS włączone. NAT włączony. UPnP włączone. Jeszcze mam włączone Sitecom Cloud Security na 6 miesięcy gratis

Wystarczy. Daruj sobie też ukrywanie SSID.

Moja sieć jest na kanale 11. - nie wiem czy poprawnie, tzn. tak powinno być. Bo gdzieś widziałem/czytałem, że inne sieci są na innym kanale i ruch na tym samym kanale jest ogromny i są zakłócenia.

Sprawdź inSSIDerem jak wygląda eter.

Może tutaj da się np zmniejszyć siłę sygnału, tak aby tylko w moim zakresie starczyło, bądź coś jeszcze zmienić ?

Da się

[key]

Czytam o tych zabezpieczeniach, i nie wiem jakie inne zabezpieczenie dać prócz wpa2-aes'a i ew. schowanie Essid'a.

Kontakt z dobrym psychoanalitykiem i rozmowa na tamat paranoi. Mowie na serio.

WPA2 w zupelnosci wystarcza. A jak bardzo chcesz byc chroniony, to doloz drugi AP bez polaczenia z internetem/siecia z OpenWRT i rozsiewaj 30...50 SSID kodowanych WPA2 z sztucznym transferem. Nikt nie bedzie mial sily/czasu/nerwow aby zlamac wszystkie i znalezc ta, na ktorej jest uktryty twoj internet.

[CrashJack]

Aha spoko, dzięki.

A jeszcze po męczę filtrowanie po MAC. Jak już będę dodawał zaufane mac, to dodawać tam w zakładce FIREWALL--->ACCES, czy w zakładce 2.4GHz--->ACL, dodam, że jest jeszcze druga zakładka 5GHz gdzie czasami się łączę.

Czy może w obu przypadkach dodawać te mac'i, ciekawe czy się nie będą gryzły?

[key]

Dodajesz MAC karty sieciowej, ktora bedziesz sie laczyl. jesli karta na 5 GHz i na 2GHz ma rozne MACi, to dodajesz rozne, jesli takie same, to dodajesz te same.

[CrashJack]

Jak należy interpretować taki wykres ?

Po lewej jest sieć 2.4GHz, a po prawej 5GHz [chyba nikt nie używa tej częstotliwości prócz mnie]

Sieci są na kanałach takich: 1, 3, 6, 11
Sześć sieci są na 11 w tym moja, dziewięć sieci na kanale 6, trzy sieci na kanale 3, oraz siedem sieci na kanale 1.
Moja sieć 2.4GHz jest na kanale 11.
Moja sieć 5GHz jest na kanale 36+40

I max rate pokazuje mi 300, czyli jest najszybsze w okolicy ;p

Wykres pokazuje mój zasięg - na żółto jest na screenie'

[Jo_gurt]

Jak należy interpretować taki wykres ?

To zależy jakie informacje Cię interesują. Ogólnie wniosek jest taki, że 2,4GHz coraz mniej nadaje się do użytku innego niż poczta i WWW.

[key]

Jak należy interpretować taki wykres ?

Na kanale 7 mozesz miec ciut lepszy SNR.

[CrashJack]

Jak należy interpretować taki wykres ?

To zależy jakie informacje Cię interesują. Ogólnie wniosek jest taki, że 2,4GHz coraz mniej nadaje się do użytku innego niż poczta i WWW.

Najczęściej do przeglądaje stron, pobieranie małych/średnich i dużych plików, oglądanie filmów na youtube, czasami facebook, czasami upload jakichś plików na serwer, nie ogram on-line

I możliwe, że z rana mam szybszy internet niż wieczorem ?

Jak należy interpretować taki wykres ?

Na kanale 7 mozesz miec ciut lepszy SNR.

To zmienić i sprawdzić jak chodzi wifi ? Czy można jakimś programem sprawdzić ?
Czyli tym inSSID'erem można SNR sprawdzić, to ten sygnał 'dBm'?

SNR mam na 2.4GHz 49dBm ;/ a na 5GHz 66dBm ;/ i jestem o piętro wyżej od router'a nie wiem jeszcze jaki sygnał by był gdybym był w pobliżu routera, potem sprawdzę.

[key]

To zmienić i sprawdzić jak chodzi wifi ?

Mozesz. O ile masz klopoty. Jesli nie masz klopotow, to nie ruszaj.

Czy można jakimś programem sprawdzić ?

Download jakiegos duzego pliku z wlasnego serwera podlaczonego do routera kablem. I wybierz odpowiedni protokol, czesto n.p. FTP jest duzo szybsze niz n.p. Samba.

Czyli tym inSSID'erem można SNR sprawdzić, to ten sygnał 'dBm'?

Nie. SNR to stosunek sygnalu do szumu. Wyobraz sobie, ze sluchasz audiobooka z telefonu (bez sluchawek) w lesie i na dyskotece. Glosnosc masz ustawiona na tym samym poziomie - gdzie bedziesz lepiej rozumial lektora?

[CrashJack]

Czyli tym inSSID'erem można SNR sprawdzić, to ten sygnał 'dBm'?

Nie. SNR to stosunek sygnalu do szumu. Wyobraz sobie, ze sluchasz audiobooka z telefonu (bez sluchawek) w lesie i na dyskotece. Glosnosc masz ustawiona na tym samym poziomie - gdzie bedziesz lepiej rozumial lektora?

Raczej w lesie, ale to zależy czy wilk nie zacznie wyć, jeleń nie zacznie ryczeć, krowa nie zacznie muczeć i ptaszki nie będą śpiewać.

Ale mając sygnał 60-70dBm będąc 2-3 metra od routera, nie ma ścian w częstotliwości 5GHz, podejrzewam że w częstotliwości 2,4GHz też jest podobnie, to czy dało by się to zwiększyć ? I od czego to zależy ?

Sprawdzałem na wewnętrznej laptopa oraz zewnętrznej klasy 'N', router to Sitecom X7 AC1200 i w ustawieniach routera mam wszystko po wpisane/zaznaczone na maksa [zasięg/sygnał]

[key]

to czy dało by się to zwiększyć

Da sie, n.p. dobierajac jakas antene, tylko po co? Zbyt wysoki poziom powoduje przesterowanie wzmacniacza wejsciowego (tak jak z muzyka, jak puscisz za glosno, to beda bolaly uszy, a nie bedziesz nic slyszal).

podejrzewam że w częstotliwości 2,4GHz też jest podobnie

Masz inna czestotliwosc przez to tez inna propagacje.

Jeszcze raz: z czym masz w tej chwili problem?

[CrashJack]

to czy dało by się to zwiększyć

Da sie, n.p. dobierajac jakas antene, tylko po co? Zbyt wysoki poziom powoduje przesterowanie wzmacniacza wejsciowego (tak jak z muzyka, jak puscisz za glosno, to beda bolaly uszy, a nie bedziesz nic slyszal).

podejrzewam że w częstotliwości 2,4GHz też jest podobnie

Masz inna czestotliwosc przez to tez inna propagacje.

Jeszcze raz: z czym masz w tej chwili problem?

Mam 3 laptopy, 2 łączą się przez częstotliwość 2,4GHz a trzecie pracuje na 5GHz.

No chciałem dać filtrowanie zaufanych kart po MAC, ale nie wiem w której zakładce to zrobić, bo jak pisałem wyżej, są dwie.
Ale jak piszecie, nie jest to do końca potrzebne, wystarczy wpa2-personal, tak ?

[key]

wystarczy wpa2-personal, tak ?

Tak.

[CrashJack]

DZięki,

Czytałem sporo o atakach na router, że można dostać się do router,a nie zając hasła do sieci, badź resetując routerem do ustawień fabrycznych, przez kilka sekund/minut sieć jest niezabezpieczona [działa na nie których routerach]
I minimum 10 znaków wpa2

Np tutaj to opisali:
http://zaufanatrzeciastrona.pl/post/co- ... ym-bronic/

[key]

Czytasz bajki, a potem Ci sie koszmary w nocy snia.

Zrob standartowa procedure: zmien hasla, przeskanuj wszystkie porty z zewnatrz, ustaw WPA2 na WiFi - to w zupelnosci wystarcza.

Jak chesz sie bawic, to ustaw wszystkie otwarte porty na niestandartowe numery, mozesz jeszcze ustawic jakis IP, ktorego nigdy nie bedziesz mial w sieci do DMZ - w ten sposob wszystkie zapytania na niekontrolowane porty zamiast "deny" dostana "timeout", ale to taka bardziej sztuka dla sztuki.

Z otwartych portow w zasadzie potrzebujesz tylko SSH, cale reszte mozesz zrobic na tunelu. Chyba ze uzywasz jakiegos softu, ktory musi byc z zewnatrz dostepny - ale wtedy masz potencjalne dziury bez kontroli.

[CrashJack]

Aha spoko, a czy warto zmienić maskę podsieci np na 245.245.245.0, bramę domyślną 182.172.5.5, i pulę adresów IP np na 182.172.2.1, chodzi na bardziej nie standardowe czy tak nie można i to bez sensu jest ?

[wojteks]

a czy warto zmienić maskę podsieci

Po co się tak bawić, szkoda czasu, poz tym poczytaj o adresach IP i maskach.

bez sensu jest

Dokładnie tak, to działanie bez sensu ale skoro masz paranoję i się naczytałeś głupot to najlepiej odłącz się od sieci, to jedyne skuteczne zabezpieczenie. Co z tego że u siebie zabezpieczysz jak dalej leci zwykle otwartym tekstem.

[key]

warto zmienić maskę podsieci np na 245.245.245.0

To nie ma sensu. Doczytaj na czym polega maska.

bramę domyślną 182.172.5.5, i pulę adresów IP np na 182.172.2.1,

Adres nie jest prywatny, tym samym masz potencjalna kolizje z innymi komputerami w internecie. Pomijam ze pomysl z tego typu adresowaniem jest poroniony - ty sie bedziesz meczyl z niedzialajacymi klientami, a wlamywacza w zaden sposob to nie zatrzyma.

Wez cos z standartowych adresow:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255

Po wlamaniu sie do sieci, wychwycenie pasujacego adresu IP trwa okolo 10 sekund.

[CrashJack]

Eh, sensu nie ma, już mam jaśniej w tym wszystkim i poczytam dogłębniej o IP, TCP czy masce podsieci ;p