Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
UniFi Фильтрация по MAC-адресам / блокировка по умолчанию, UniFi Network
 
#1
27.10.2014 07:55:00
Привет! Я прочитал много тем про MAC-фильтрацию... Сейчас это всё ещё невозможно, да? Зачем мне нужна MAC-фильтрация: пользователи нашей сети знают WiFi-ключ. При первом подключении с нового устройства я хочу его одобрить. А если кто-то уходит из компании, я могу заблокировать его MAC. Я понимаю, что в UniFi можно блокировать устройство, но пользователь всё равно может подключиться к WiFi с новым гаджетом. Можно ли настроить так, чтобы устройство было заблокировано по умолчанию и его нужно было одобрять отдельно? С уважением,
 
 
 
#2
08.03.2017 19:17:00
Пожалуйста, попробуйте следующий вариант и скажите, работает ли он:  
config.system_cfg.1=ebtables.status=enabled  
config.system_cfg.2=ebtables.2.cmd=-A FORWARD -i ath0 -j DROP  
config.system_cfg.3=ebtables.3.cmd=-I FORWARD -i ath0 -s 70:70:0d:7c:87:9b -j ACCEPT  
config.system_cfg.4=ebtables.4.cmd=-I FORWARD -i ath0 -s 94:9a:a9:59:2d:bb -j ACCEPT  
config.system_cfg.5=ebtables.5.cmd=-I FORWARD -i ath0 -s 70:11:24:35:bb:87 -j ACCEPT  
Всего доброго!
 
 
 
#3
08.03.2017 19:06:00
Думаю, моя конфигурация должна использовать «ath0», так как именно этот интерфейс у меня отображается при списке. Поэтому вот моя конфигурация:  
config.system_cfg.1=ebtables.status=enabled  
config.system_cfg.2=ebtables.1.cmd=-A FORWARD -i ath0 -j DROP  
config.system_cfg.3=ebtables.2.cmd=-I FORWARD -i ath0 -s 70:70:0d:7c:87:9b -j ACCEPT  
config.system_cfg.4=ebtables.3.cmd=-I FORWARD -i ath0 -s 94:9a:a9:59:2d:bb -j ACCEPT  
config.system_cfg.5=ebtables.4.cmd=-I FORWARD -i ath0 -s 70:11:24:35:bb:87 -j ACCEPT  

Добавил несколько устройств для теста, но всё равно могу подключаться к точке доступа с устройств, которых нет в списке.  
Ещё нужно добавить первую строку «config.system_cfg.1=ebtables.status=enabled», иначе после каждого обновления настройки возвращаются к значению «disabled». По какой-то причине не получается сделать это значение постоянным.  
Насколько я вижу (если я что-то совсем не упускаю), это то же самое, что и у тебя... :(
 
 
 
#4
08.03.2017 18:41:00
Привет, feareg! Судя по всему, у тебя проблема в синтаксисе. Вот мой config.properties:

config.system_cfg.1=ebtables.status=enabled  
config.system_cfg.2=ebtables.1.cmd=-A FORWARD -i ath0 -j DROP  
config.system_cfg.3=ebtables.2.cmd=-I FORWARD -i ath0 -s 70:70:0D:7C:87:9B -j ACCEPT  
config.system_cfg.6=ebtables.5.cmd=-A FORWARD -i ath2 -j DROP  
config.system_cfg.7=ebtables.6.cmd=-I FORWARD -i ath2 -s 70:70:0D:7C:87:9B -j ACCEPT

А должно быть вот так:

config.system_cfg.1=ebtables.1.cmd=-A FORWARD -i ath1 -j DROP  
config.system_cfg.2=ebtables.2.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.3=ebtables.3.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.4=ebtables.4.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.5=ebtables.5.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.6=ebtables.6.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.7=ebtables.7.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.8=ebtables.8.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT  
config.system_cfg.9=ebtables.9.cmd=-I FORWARD -i ath1 -s MAC-ADDRESS -j ACCEPT

У меня вот так, и работает без проблем.  
Если что — спрашивай! Всего доброго!
 
 
 
#5
08.03.2017 18:31:00
Подключитесь, используя исключительно 2.4ГГц, и проверьте, какой интерфейс используется, затем повторите процедуру для 5ГГц... Просмотрите логи, проверяя, через какой интерфейс установлено соединение, используя MAC-адрес клиентского устройства.
 
 
 
#6
08.03.2017 18:03:00
Честно говоря, я не уверен, какой интерфейс мне использовать. Вот мой ifconfig:

BZ.v3.7.5# ifconfig

ath0  
Link encap:Ethernet  
HWaddr 80:2A:A8:51:ED:46  
inet6 addr: fe80::822a:a8ff:fe51:ed46/64 Scope:Link  
UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  
MTU:1500 Metric:1  
RX packets:39076 errors:0 dropped:0 overruns:0 frame:0  
TX packets:51258 errors:0 dropped:91 overruns:0 carrier:0  
collisions:0 txqueuelen:0  
RX bytes:5620630 (5.3 MiB) TX bytes:51194737 (48.8 MiB)

ath2  
Link encap:Ethernet  
HWaddr 82:2A:A8:52:ED:46  
inet6 addr: fe80::802a:a8ff:fe52:ed46/64 Scope:Link  
UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  
MTU:1500 Metric:1  
RX packets:4352 errors:24 dropped:24 overruns:0 frame:0  
TX packets:3769 errors:233 dropped:6549 overruns:0 carrier:0  
collisions:0 txqueuelen:0  
RX bytes:6145024 (5.8 MiB) TX bytes:1822206 (1.7 MiB)

br0  
Link encap:Ethernet  
HWaddr 80:2A:A8:50:ED:46  
inet addr:192.168.1.102 Bcast:192.168.1.255 Mask:255.255.255.0  
inet6 addr: fe80::822a:a8ff:fe50:ed46/64 Scope:Link  
UP BROADCAST RUNNING ALLMULTI MULTICAST  
MTU:1500 Metric:1  
RX packets:12721 errors:0 dropped:2311 overruns:0 frame:0  
TX packets:3056 errors:0 dropped:0 overruns:0 carrier:0  
collisions:0 txqueuelen:0  
RX bytes:2056750 (1.9 MiB) TX bytes:1331156 (1.2 MiB)

eth0  
Link encap:Ethernet  
HWaddr 80:2A:A8:50:ED:46  
inet6 addr: fe80::822a:a8ff:fe50:ed46/64 Scope:Link  
UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  
MTU:1500 Metric:1  
RX packets:59126 errors:0 dropped:5 overruns:0 frame:0  
TX packets:46528 errors:0 dropped:0 overruns:0 carrier:0  
collisions:0 txqueuelen:1000  
RX bytes:52121255 (49.7 MiB) TX bytes:7848713 (7.4 MiB)  
Interrupt:4

lo  
Link encap:Local Loopback  
inet addr:127.0.0.1 Mask:255.0.0.0  
inet6 addr: ::1/128 Scope:Host  
UP LOOPBACK RUNNING  
MTU:16436 Metric:1  
RX packets:16 errors:0 dropped:0 overruns:0 frame:0  
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0  
collisions:0 txqueuelen:0  
RX bytes:1264 (1.2 KiB) TX bytes:1264 (1.2 KiB)

wifi0  
Link encap:UNSPEC  
HWaddr 80-2A-A8-51-ED-46-00-00-00-00-00-00-00-00-00-00  
UP BROADCAST RUNNING MULTICAST  
MTU:1500 Metric:1  
RX packets:245576 errors:19356 dropped:0 overruns:0 frame:19356  
TX packets:188343 errors:1602 dropped:0 overruns:0 carrier:0  
collisions:0 txqueuelen:4095  
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)  
Interrupt:47 Memory:b8100000-b8120000

wifi1  
Link encap:UNSPEC  
HWaddr 80-2A-A8-52-ED-46-00-00-00-00-00-00-00-00-00-00  
UP BROADCAST RUNNING MULTICAST  
MTU:1500 Metric:1  
RX packets:0 errors:0 dropped:0 overruns:0 frame:0  
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0  
collisions:0 txqueuelen:4095  
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)  
Interrupt:40 Memory:b2000000-b2200000

Не могу понять, какой интерфейс выбрать в итоге...
 
 
 
#7
08.03.2017 18:01:00
Хммм. На мой взгляд, тебе нужно проверить, какой у тебя интерфейс — ath0, ath1 или ath2 — в зависимости от твоей точки доступа и, возможно, прошивки. Сейчас я думаю, что в твоей точке доступа просто нет соответствующего athX, поэтому настройки не применяются к интерфейсу.
 
 
 
#8
08.03.2017 17:49:00
Привет, мне удалось всё настроить по твоим инструкциям, но всё равно любое устройство может подключиться к точкам доступа. Вот мой config.properties:

config.system_cfg.1=ebtables.status=enabled  
config.system_cfg.2=ebtables.1.cmd=-A FORWARD -i ath0 -j DROP  
config.system_cfg.3=ebtables.2.cmd=-I FORWARD -i ath0 -s 70:70:0D:7C:87:9B -j ACCEPT  
config.system_cfg.6=ebtables.5.cmd=-A FORWARD -i ath2 -j DROP  
config.system_cfg.7=ebtables.6.cmd=-I FORWARD -i ath2 -s 70:70:0D:7C:87:9B -j ACCEPT  

(Я не был уверен, какой именно "ath" использовать, поэтому добавил оба.)

BZ.v3.7.5# ebtables -L FORWARD  
Bridge table: filter  
Bridge chain: FORWARD, entries: 6, policy: ACCEPT  
-s 70:70:d:7c:87:9b -i ath2 -j ACCEPT  
-s 70:70:d:7c:87:9b -i ath0 -j ACCEPT  
-i ath0 -j DROP  
-i ath2 -j DROP  

Ещё странно, что при выводе "ebtables" из MAC-адреса пропала ноль перед "d". Хотя в properties и в system.cfg на точке доступа этот ноль есть.

Короче, после добавления правил любое устройство всё равно может подключиться, словно фильтрация по MAC не включена. Есть идеи, в чём может быть проблема?  
Заранее спасибо!
 
 
 
#9
30.05.2017 17:04:00
Кто-нибудь смог настроить это для одного SSID на точке доступа, которая вещает несколько SSID? Если да, не могли бы вы поделиться, как это было сделано? Компания, с которой мы работаем, транслирует с одной точки доступа сети production, guest и PCI, и мы хотим ограничить доступ только к сети PCI по определённым MAC-адресам.
 
 
 
#10
08.03.2017 20:31:00
Извини, чувак, я не знаю, в чём проблема. Но мне бы хотелось услышать от тебя, что ты нашёл способ её решить! Всего наилучшего.
 
 
 
#11
08.03.2017 20:23:00
Нет, устройства, которым не разрешено подключаться, не получают доступ к интернету после ввода пароля.
 
 
 
#12
08.03.2017 20:20:00
Да, у меня это настроено в двух разных местах, и в обоих всё работает отлично. Я помню, что к вашей беспроводной сети подключаться неразрешённым устройствам можно, если у них есть ключ Wi-Fi, так это и работает. Но как только они подключатся, они не смогут пинговать или получить доступ к любому устройству в вашей сети. Это то, что происходит?
 
 
 
#13
08.03.2017 20:13:00
Да, спасибо большое за проделанную работу. Кстати, ты проверял свою настройку, действительно ли она работает? 😀 Я имею в виду, пробовал ли ты подключаться с устройствами, чьи MAC-адреса не добавлены? Просто интересно, потому что у меня совсем нет идей.
 
 
 
#14
08.03.2017 20:10:00
Ядро не поддерживает таблицу 'filter' в ebtables. У меня такая ошибка была однажды, но после нескольких попыток, не знаю почему, она исчезла. Боюсь, я не могу тебе помочь, парень, правда хочу, но не знаю как. Желаю удачи!
 
 
 
#15
08.03.2017 20:02:00
Да, сегодня обновился до версии: VERSION:3.7.40.6115. Однако в Unifi Controller отображается: 3.7.5.4969.
 
 
 
#16
08.03.2017 19:59:00
У тебя установлена последняя версия прошивки?
 
 
 
#17
08.03.2017 19:57:00
Сделал. Reprovision: выполнено. Файл config.properties в порядке, скрытого расширения нет. Результат: BZ.v3.7.5# ebtables -L FORWARD  
Ядро не поддерживает таблицу ebtables 'filter'.  
Это происходит, если я пропускаю строку "config.system_cfg.5=ebtables.status=enabled". Каждый раз, когда я меняю значение на enabled в файле system.cfg, после reprovision оно снова сбрасывается на disabled. По какой-то причине не могу сделать это постоянным.
 
 
 
#18
08.03.2017 19:48:00
Можешь попробовать еще раз, как указано ниже?  
config.system_cfg.1=ebtables.1.cmd=-A FORWARD -i ath0 -j DROP  
config.system_cfg.2=ebtables.2.cmd=-I FORWARD -i ath0 -s 70:70:0d:7c:87:9b -j ACCEPT  
config.system_cfg.3=ebtables.3.cmd=-I FORWARD -i ath0 -s 94:9a:a9:59:2d:bb -j ACCEPT  
config.system_cfg.4=ebtables.4.cmd=-I FORWARD -i ath0 -s 70:11:24:35:bb:87 -j ACCEPT  

Не забудь обновить настройки AP и проверить, чтобы файл config.properties не имел скрытого расширения, например, .txt.  
После этого подключайся через ssh и пришли результат команды ebtables -L FORWARD.
 
 
 
#19
08.03.2017 19:36:00
Да, я проверил подключение к AP через SSH:  
BZ.v3.7.5# ebtables -L FORWARD  
Таблица Bridge: filter  
Цепочка Bridge: FORWARD, записей: 4, политика: ACCEPT  
-s 70:11:24:35:bb:87 -i ath0 -j ACCEPT  
-s 94:9a:a9:59:2d:bb -i ath0 -j ACCEPT  
-s 70:70:d:7c:87:9b -i ath0 -j ACCEPT  
-i ath0 -j DROP  
Значит, изменения дошли до AP.
 
 
 
#20
08.03.2017 19:34:00
Ты перепрошивал точку доступа?
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)