общий доступ по wi-fi



  • Тема конечно, но совсем по pfsense, но все равно спрошу у вас совета. К нам в офис приходят клиенты и нужно чтобы они с телефона по wi-fi могли скидывать свои фотки. Как максимально обезопасить сеть в подобном случае чтобы никакие хацкеры не могли ничего натворить через этот wi-fi? Интуиция мне подсказывает, что надо использовать vlan, но конкретного решения в голову не приходит.



  • @rline:

    нужно чтобы они с телефона по wi-fi могли скидывать свои фотки

    А по какому протоколу (какой программой) они будут скидывать фотки?



  • Что в кач-ве wi-fi у вас трудится ? Если это отдельный роутер - настраивайте его в кач-ве точки доступа и пускай клиенты получают настройки от pfsense. Затем пишите правила для этих клиентов в fw.

    Если это просто интерфейс pfsense (wi-fi сетевая карта) , то сразу рисуете правила в fw.

    P.s. Как вариант - прошить ваш роутер (если железо позволяет) альтернативной прошивкой - tomatousb\openwrt\dd-wrt и настроить guest-сеть, засунув ее в отдельный vlan.



  • @dr.gopher:

    А по какому протоколу (какой программой) они будут скидывать фотки?

    На счет протокола и программы точно сказать не могу ибо я совсем не спец в телефонах. Скидывать будут в основном с андроидов и винмобайлов.

    @werter:

    Что в кач-ве wi-fi у вас трудится ?

    В качестве wi-fi есть возможность поставить маршрутизатор d-link dir-615 либо воткнуть wi-fi сетевуху. Так же есть возможность поставить виртуалку специально для обменника на любой оси.



  • Пробуйте и с роутером (в режиме ТД) и просто с wi-fi сетевой



  • @werter:

    Пробуйте и с роутером (в режиме ТД) и просто с wi-fi сетевой

    А как правильно настроить vlan? На роутере можно указать теги для каждого порта, а вот на сетевухе я нашел только включение и выключение поддержки vlan.



  • @rline:

    @werter:

    Пробуйте и с роутером (в режиме ТД) и просто с wi-fi сетевой

    А как правильно настроить vlan? На роутере можно указать теги для каждого порта, а вот на сетевухе я нашел только включение и выключение поддержки vlan.

    А зачем вам vlan? Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.



  • @werter:

    А зачем вам vlan? Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.

    Вы говорите только про вариант с "сетевухой"? Или для отдельной ТД это решение тоже подойдет?



  • @GUID:

    @werter:

    А зачем вам vlan? Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.

    Вы говорите только про вариант с "сетевухой"? Или для отдельной ТД это решение тоже подойдет?

    Если ви-фи роутер будет работать как простая ТД (такой себе беспрводной свитч) , то можете и такой вариант использовать.



  • @werter:

    Если ви-фи роутер будет работать как простая ТД (такой себе беспрводной свитч) , то можете и такой вариант использовать.

    Тогда собственно сам вопрос )
    Допустим конфигурация следующая:

    • интерфейс pfSense: 192.168.0.1/24
    • используются адреса для "обычной сети": 192.168.0.10-192.168.0.20
    • адрес ТД (роутер в режиме ТД): 192.168.0.20. Адреса, которые назначаются "гостям", подключающимся по wi-fi: 192.168.0.50-192.168.0.70
    • адрес клиента, который подключился по wi-fi: 192.168.0.50
      Если я правильно понял, то это пример конфигурации, которую Вы имели ввиду.

    Теперь задача: обеспечить, чтобы "гости" не попадали на машины с ip 192.168.0.10-192.168.0.20.

    @werter:

    Если это отдельный роутер - настраивайте его в кач-ве точки доступа и пускай клиенты получают настройки от pfsense. Затем пишите правила для этих клиентов в fw.

    Вы предлагаете это решить силами firewall pfSense, но как?! Что мешает обратиться "гостю" (192.168.0.50) к компу (192.168.0.10) напрямую?



  • @GUID:

    Тогда собственно сам вопрос )
    Допустим конфигурация следующая:

    • интерфейс pfSense: 192.168.0.1/24
    • используются адреса для "обычной сети": 192.168.0.10-192.168.0.20
    • адрес ТД (роутер в режиме ТД): 192.168.0.20. Адреса, которые назначаются "гостям", подключающимся по wi-fi: 192.168.0.50-192.168.0.70
    • адрес клиента, который подключился по wi-fi: 192.168.0.50
      Если я правильно понял, то это пример конфигурации, которую Вы имели ввиду.

    Теперь задача: обеспечить, чтобы "гости" не попадали на машины с ip 192.168.0.10-192.168.0.20.

    ….......................

    Вы предлагаете это решить силами firewall pfSense, но как?! Что мешает обратиться "гостю" (192.168.0.50) к компу (192.168.0.10) напрямую?

    Если у вас есть в наличие еще одна сетевуха - просто берем и втыкаем ее в комутер с pfSense, на эту сетевуху вешаем вашу ТД, в этой минилокалке ведем отдельную адресацию, а в самом pfSense уже правилами на нужном интерфейсе раздаем все как надо

    PS: решение совсем не претендует на идеал, но вполне работающее



  • @Tosh:

    Если у вас есть в наличие еще одна сетевуха - просто берем и втыкаем ее в комутер с pfSense, на эту сетевуху вешаем вашу ТД, в этой минилокалке ведем отдельную адресацию, а в самом pfSense уже правилами на нужном интерфейсе раздаем все как надо

    Это вариант вполне понятен, но согласитесь, что из текста исходного предложения нельзя сделать вывод о таком способе реализации:

    @werter:

    Назначьте ви-фи-клиентам адреса из неиспользованных в вашей локальной сети, создайте алиас и рулите правилами fw, т.е. разрешите эим клиентам только то что нужно.

    @werter:

    Если ви-фи роутер будет работать как простая ТД (такой себе беспрводной свитч) , то можете и такой вариант использовать.



  • Хм..Тогда суем ви-фи карту в пф , создаем в нем AP и рулим правилами на ней. Это дешевле всего выйдет.



  • @werter:

    Хм..Тогда суем ви-фи карту в пф , создаем в нем AP и рулим правилами на ней. Это дешевле всего выйдет.

    Я видимо очень плохо формулирую свои вопросы и получается, что мы говорим о разных вещах.
    СПАСИБО за искренне желание помочь.


Log in to reply