Changes between Version 71 and Version 72 of WikiStart


Ignore:
Timestamp:
Jun 2, 2015, 8:28:15 AM (9 years ago)
Author:
walter
Comment:

ebtables toevoeging, intro edit

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v71 v72  
    1313
    1414== antwoord ==
    15 Jazeker, met deze middelen Soekris-boarden, bijbehorende hardware en OpenWRT software is het mogelijk om een zeer complete howto te maken/beschrijven met startklare openwrt images / uitgangssituaties zodat direct, makkelijk en uitgebreid geexperimenteerd kan worden juist door (linux)nieuwkomers en enthousiastelingen met het bouwen van een W.L. achtig community netwerk (from scratch).
    16 
    17 Door de modulaire bouw van "openwrt" i.c.m. de packetmanager "opkg" is met hetzelfde gemak als op een linux-desktop een uitgebreide router/server/node/netwerk te bouwen door (bijna ;-) iedereen in een zeer korte tijd! Met de grote hoeveelheid beschikbare hardware-configuraties kan direct de flexibiliteit van openwrt ingezien en benut worden als middel om inzicht in het creeeren en functioneren van een netwerk te verkrijgen!
     15Jazeker, met deze Soekris-boarden en OpenWRT software als middel is het mogelijk om basale netwerk/linux kennis en inzicht in het creëren en functioneren van complexe netwerkcomponenten op te doen!
     16
     17Door de modulaire bouw van "OpenWRT"(linux gebasseerd) op basis van de packetmanager "opkg" in combinatie met "plain text editing" kan met hetzelfde gemak als op een linux-desktop/server een uitgebreide router/server/node/netwerk(onderdeel) gebouwd worden, door (bijna ;-) iedereen en dat in een zeer korte tijd! Met de grote hoeveelheid beschikbare hardware-configuraties/toepassingen kan direct de flexibiliteit van het linux gebaseerde openwrt worden ingezien en benut. Zodat uiteindelijk nieuwkomers en enthousiastelingen het creëren van W.L. type community netwerk via hap klare brokken kunnen realiseren.
    1818
    1919=== reden ===
    20 De keuze voor openwrt+soekris als uitgangssituatie voor deze howto is omdat dit stapsgewijs en toegankelijk, het binnen W.L. netwerk gebruikte cruciale basis component "freebsd+alixboard" te benaderen en beschikbaar maakt in een kort tijdbestek! Je kan in een uur al een werkende config en inzicht hebben, i.t.t het opzetten van een freebsd installatie met nodefactory en het compileren van benodigde tools (iets wat vanaf het wireless leiden netwerk zelf helaas onmogelijk is van scratch).
     20De keuze voor openwrt+soekris als uitgangssituatie voor deze howto is omdat dit stapsgewijs en toegankelijk, het binnen W.L. netwerk gebruikte cruciale basis component "freebsd+alixboard" te benaderen en beschikbaar maakt in een kort tijdbestek! Je kan in een uur al een werkende netwerk onderdeel en inzicht hebben, i.t.t het opzetten van een freebsd installatie met nodefactory en het compileren van benodigde tools (iets wat vanaf het wireless leiden netwerk zelf helaas onmogelijk is van scratch).
    2121
    2222Het W.L. netwerk bestaat in een oog aanschouw uit zo'n 4 bouwstenen die je op enkele onderdelen na kant en klaar kan kopen/gratis zijn, maar nog wel op juiste wijze moet configureren:
     
    875875}}}
    876876
     877==== port isolation ====
     878Met ebtables kun je met dezelfde insteek (input/output/forward) als iptables filters opgeven hoe bridges en hun member interfaces data verkeer doorlaten. Hiermee zou je bijvoorbeeld layer2 port isolation kunnen bereiken wat handig kan zijn voor roaming met meerdere accesspoints binnen hetzelfde subnet omdat bijvoorbeeld broadcast verkeer of het omleiden van verkeer naar een client daarmee ommogelijk word. Dit is niet alleen handig voor toenemende veiligheid maar ook om de airtime in de wifi laag te vergroten. Hieronder 2 voorbeelden. Het eerste voorbeeld gaat ervan uit dat er een enkel lan subnet op de bridge interface in de router zelf zit en dat alle members van die bridge o.a. accesspoints op unieke bridge member interfaces of vlans niet met elkaar mogen communiceren(dus wel met de br0 "cpu" van de router zelf). Het tweede voorbeeld geeft een mogelijk om enkel bepaalde member interfaces van een bridge toegang tot andere members te ontzeggen maar niet tot andere onderdelen van de bridge.
     879
     880{{{
     881ebtables --append FORWARD --logical-in br0 --jump DROP
     882}}}
     883
     884{{{
     885ebtables -A FORWARD --in-interface eth0 --out-interface eth1 -j DROP
     886ebtables -A FORWARD --in-interface eth1 --out-interface eth0 -j DROP
     887}}}
     888
    877889== Direct aan de slag! ==
    878890Met wat eigenlijk? Met doosjes hardware(soekris boards/wifi uitbreidingen) en software als referentie of functionaliteiten zoals router en accesspoint opzetten en de hardware software instellingen ondersteunend maken aan dat verhaal? Ik heb het nu aan de hand van de hardware beschreven, tegelijk met het mixen van functionaliteiten zonder die direct altijd te benoemen en ook nog eens met verschillende openwrt versies... dit moet nog opgeschoond worden.
     
    16431655* [http://lists.thekelleys.org.uk/pipermail/dnsmasq-discuss/2014q1/008179.html pxe legacybios + uefi dnsmasq mailinglist]
    16441656* [http://2014.texaslinuxfest.org/sites/default/files/Creating%20a%20legacy%20+%20EFI%20PXE%20boot%20server%20using%20pxelinux.pptx pxe legacy bios plus uefi presentation pptx]
     1657* [https://community.ubnt.com/t5/UniFi-Wireless/AP-Pro-L2-Client-Isolation-between-radios/m-p/496977#M40180 ebtables isolate bridge members ports]
     1658* [http://serverfault.com/questions/388544/is-it-possible-to-enable-port-isolation-on-linux-bridges RFC 5517  private vlan isolate ports]
    16451659== errors ==
    16461660luci https backfire werkt niet uhttp restart illegal instruction!