Запретить клиентам расшаривать подключение

[Andrei Arseniev]

Здравствуйте. На одном из клиентов сети пользователь открывает WiFi HotSpot для доступа в Интернет других устройств. Возможно ли сохранить доступ для самого клиента, но запретить его для этих других устройств?

[Илья Картавенко]

5 минут назад, Andrei Arseniev сказал:

Здравствуйте. На одном из клиентов сети пользователь открывает WiFi HotSpot для доступа в Интернет других устройств. Возможно ли сохранить доступ для самого клиента, но запретить его для этих других устройств?

Ну если только запретить создавать хотспот на клиенте.

[MercuryV]

2 часа назад, Andrei Arseniev сказал:

сохранить доступ для самого клиента, но запретить его для этих других устройств

Можно попробовать, но без гарантий.

Подгрузить модуль ядра xt_hl.ko - он есть в комплекте, а потом добавить правило iptables, что будет отбрасывать все пакеты с конкретного клиента, где TTL меньше указанного. Например, если клиент на Android, то TTL < 64.

Примерно так:

iptables -t mangle -A PREROUTING -i br0 -s 192.168.XXX.YYY -m ttl --ttl-lt 64 -j DROP

Будет работать до тех пор, пока пользователь на клиенте не догадается завысить TTL.

[Andrei Arseniev]

2 hours ago, MercuryV said:

Можно попробовать, но без гарантий.

Подгрузить модуль ядра xt_hl.ko - он есть в комплекте, а потом добавить правило iptables, что будет отбрасывать все пакеты с конкретного клиента, где TTL меньше указанного. Например, если клиент на Android, то TTL < 64.

Примерно так:

iptables -t mangle -A PREROUTING -i br0 -s 192.168.XXX.YYY -m ttl --ttl-lt 64 -j DROP

Будет работать до тех пор, пока пользователь на клиенте не догадается завысить TTL.

Спасибо! Правильно понимаю, что для этого нжуно поставить OPKG?

[MercuryV]

3 часа назад, Andrei Arseniev сказал:

поставить OPKG

Да. Затем установить пакет iptables и добавить скрипт в каталог /opt/etc/ndm/netfilter.d

Пример

[Andrei Arseniev]

Установил OPKG и iptables, но почему-то у меня нет модуля xt_hl.ko:

# ls -1 /lib/modules/4.9-ndm-5/xt*
/lib/modules/4.9-ndm-5/xt_connbytes.ko
/lib/modules/4.9-ndm-5/xt_connlimit.ko
/lib/modules/4.9-ndm-5/xt_recent.ko

Пробовал устанавливать xtables-addons_legacy, но там его тоже нет.

Что я мог сделать не так (делаю на KN-1011)?

Edited February 2, 2022 by Andrei Arseniev

[MercuryV]

Посмотрел на KN-1010, модуль есть.

Цитата

# ls -1 /lib/modules/4.9-ndm-5/xt* | grep _hl
/lib/modules/4.9-ndm-5/xt_hl.ko

 

Пакет расширения Xtables-addons для Netfilter установлен в компонентах прошивки?

[Andrei Arseniev]

1 hour ago, MercuryV said:

Пакет расширения Xtables-addons для Netfilter установлен в компонентах прошивки?

У меня нет пакой строчки с списке компонентов. Даже интерфейс на русский переключил, нет его. Может для него есть какой-то еще prerequisite помимо самого OPKG?

[AndreBA]

1 час назад, Andrei Arseniev сказал:

У меня нет пакой строчки с списке компонентов. Даже интерфейс на русский переключил, нет его. Может для него есть какой-то еще prerequisite помимо самого OPKG?

Разве отсутствует такой компонент?

Скрытый текст

 

[MercuryV]

А версия прошивки какая?

Так-то модули давно завезли

 

Edited February 2, 2022 by MercuryV

[Andrei Arseniev]

3 hours ago, AndreBA said:

Разве отсутствует такой компонент?

 

Да, у меня на двух утсройствах одинаково, версия 3.7.2:

Spoiler

 

Edited February 2, 2022 by Andrei Arseniev

[AndreBA]

11 час назад, Andrei Arseniev сказал:

Да, у меня на двух утсройствах одинаково, версия 3.7.2:

Установил на GIGA III 3.7.1. Все присутствует:

Скрытый текст

Компонент "Extension package Xtables-addons for Netfilter" зависит от компонента "Kernel modules for Netfilter". Если компонент "Kernel modules for Netfilter" не установлен, то и не будет "Extension package Xtables-addons for Netfilter".

[Andrei Arseniev]

3 hours ago, AndreBA said:

 

Компонент "Extension package Xtables-addons for Netfilter" зависит от компонента "Kernel modules for Netfilter". Если компонент "Kernel modules for Netfilter" не установлен, то и не будет "Extension package Xtables-addons for Netfilter".

А у меня и Kernel modules for Netfilter нет )

[Andrei Arseniev]

55 minutes ago, Andrei Arseniev said:

А у меня и Kernel modules for Netfilter нет )

Поддержа помогла решить проблему с доступностью модулей, спасительные команды в cli:

components install opkg-kmod-netfilter   
components install opkg-kmod-netfilter-addons

И команды подсветили root cause: не хватало модуля IPv6. После его добавления модули появились и в интерфейсе. 

[Andrei Arseniev]

После установки модулей предложенный MercuryV вариант блокировки заработал! Огромное спасибо за помощь!