To: bsd-dk@bsd-dk.dk Subject: Re: Accesspoit på en OpenBSD From: peter@bgnett.no (Peter N. M. Hansteen) Date: Tue, 23 Aug 2005 09:34:52 +0200
Jakob Kjøller <none@jakob--kjollers.dk.lh.bsd-dk.dk> writes:
> Jeg sidder og prøver at findet en god HowTo om at lave et accesspoint på en
> ath0 driver.
Jeg har satt opp et slikt hjemme nå i sommer. Jeg kommer nok til å sette
sammen dette i en webtilgjengelig sak en gang med det første, men i alle
fall -
skapet.datadok.no var allerede gateway med nokså enkelt NATende
gateway-oppsett, altså med en /etc/pf.conf der hovedinnholdet er
# nat/rdr
nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port { 20, 21 } -> 127.0.0.1 \
port 8021
block all
og deretter en liten ramse pass-regler.
Så var det /etc/hostname.ath0,
up media autoselect mediaopt hostap mode 11b chan 6 nwid kakemonster \
nwkey 0x1deadbeef2 inet 10.168.103.1
- mode 11b siden det visstnok for akkurat den ath-utgaven jeg satt med[1]
var den modusen som hadde størst sjanse til å fungere stabilt.
Så klonet jeg nat- og rdr-reglene i /etc/pf.conf slik at de ville
fungere for ath0 også, nå kalt "$air_if" -
nat on $ext_if from $int_if:network to any -> ($ext_if)
nat on $ext_if from $air_if:network to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port { 20, 21 } -> 127.0.0.1 \
port 8021
rdr on $air_if proto tcp from any to any port { 20, 21 } -> 127.0.0.1 \
port 8021
og gjorde tilsvarende endringer i pass-reglene.
Endelig satte jeg opp dhcpd til å dele ut adresser på subnettet $air_if:network.
I en slik tilstand er det ikke uoverkommelig å cracke seg inn på nettet
ditt, men med wepkey har du om ikke annet markert at du har et ønske om
å holde ressursene for deg selv. Som andre har nevnt kan det være smart
å bruke authpf til adgangskontroll, for eksempel slik at alle som ikke
har passert authpf-autentisering kun vil bli dirigert til en webside som
forklarer at dette nettet ikke er åpent, alternativt en
signup-applikasjon som godtar kredittkort ;)
Som sagt har jeg tenkt å skrive noe om dette etterhvert, sannsynligvis
som en utvidelse av PF-prekenen min[2], når jeg bare får tilkjempet meg
tilstrekkelige timer med ro til å formulere dette ordentlig.
[1] ath0 at pci1 dev 4 function 0 "Atheros AR5212" rev 0x01: irq 11
ath0: AR5212 5.6 phy 4.1 rf5111 1.7 rf2111 2.3, ETSI1W, address 00:0d:88:c8:a7:c4
- et D-Link DWL-AG520, jeg har også testet DWLG520, som ser ut til
å fungere tilfredsstillende. IKKE kjøp DWL-G520+, som er basert på
TIs chipset ACX-111, og krever noe proprietær firmware.
En annen ting du kan komme ut for, er at landskode må settes
eksplisitt ved å patche kjernen, se
http://marc.theaimsgroup.com/?l=openbsd-bugs&m=111134384223143&w=2
[2] http://www.bgnett.no/~peter/pf/
-- Peter N. M. Hansteen, member of the first RFC 1149 implementation team http://www.blug.linux.no/rfc1149/ http://www.datadok.no/ http://www.nuug.no/ "First, we kill all the spammers" The Usenet Bard, "Twice-forwarded tales"
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:51 CET