Hogyan hogy felhívja egy teljes wi-fi hozzáférési pont a debian 7 - útmutatók és oktatóanyagok - fórum szerver
Emelje fel a kiváló minőségű Wi-Fi hozzáférési pont Debian 7
Egy kis háttér.
Részt vettem a szervezet a hozzáférési pont (a továbbiakban egyszerűen TD) hosszú ideig, és otthon router nem volt Wi-Fi-vel. Volt, persze, az ötlet, hogy vásárolni „divatos” eszköz, hogy úgy mondjam, „szem előtt”, és elfelejteni. Bevásárló túra, stb Azt nem volt sikeres - Pozar I kitayschinu, és a tetején modellek nem nézett még. Varangy nem engedélyezett.
Aztán jött egy másik ötlet. Végtére is, kaptam egy PCI-kártya WiFi, és ha tudják hozni a WiFi, majd szétosztása. Habozás nélkül Poshukayte alján a hordó, és én kiderült, hogy a rendelkezésére álló 2 kártya:
Nem írom le az összes lépést a megtestesítője a megfogant élet. Internetes keresés a kifejezést „Hozzáférési pont létrehozása„adott egy csomó olyan információkat, amelyekből megpróbáltam szinte mindent.
Az első hívás kísérlet volt arra, hogy hozzon létre egy TD Windows 7 (XP elavult már, mint kiderül, nem ez).
Az eredmény a végén siralmas. Gyenge jel, három méterre a TD kapcsolat megszakadt. Gyakran ok nélkül elejtettem hálózat.
A második megközelítés sikeresebb volt kísérlet arra, hogy hozzon létre egy TD Debian 7.
A lényeg: A jel nem vész el az egész lakásban. A hálózat stabil volt. Internet elérhető volt. Mi mást kellene valamit?
De nem ütött ez a módszer. Az internet és az erőforrásokat, a helyi hálózat közvetlenül nem hozzáférhető, mivel TD volt a saját hálózat NAT mögött. zavar.
Egy kis elmélet.
hardver kompatibilitás
Mint kiderült, nem minden Wi-Fi kártya képes dolgozni a Master módban, azaz a TD. Kínai noname azonnal jelöltek tesztelésére a hálózati kártyát, mert a jellegtelen megjelenése és gyenge antennki. De a DWL-G550 és nézett szilárd megjelenésű, és valójában már a szükséges tulajdonságok - tudott szétosztani Wi-Fi-vel.
És hogyan kell meghatározni a már telepített berendezések munkát AP (Acsses Point angol -. Access Point)? Ez egyszerű.
Menj a konzol (nálunk a Debian, egyébként is az Ubuntu) és írja be a következő parancsot:
$ Lspci -vnn | grep Ethernet
vagy #
$ Lspci -vnn | grep Wireless
# Vagy USB adapter
$ Lsusb -vnn | grep Wireless
I kártya meghatározása a következő:
lspci -vnn | grep Wireless
00: 0a.0 Ethernet vezérlő # 91, 0200 # 93;: Atheros Communications Inc. AR5212 / AR5213 Wireless Network Adapter # 91; 168C: 0013 # 93; (Rev 01)
Alrendszer: D-Link System Inc D-Link DWL-G550 AirPremier Wireless PCI Adapter # 91; 1186: 3a18 # 93;
A készülék tudja, hogy van-e a vezető nézni:
dmesg | grep Atheros
Van a vezető az alábbiak szerint:
dmesg | grep Atheros
# 91; 6.671101 # 93; ath5k phy0: Atheros AR2414 chip talált (MAC: 0x79, PHY: 0x45)
ath5k a sofőrünk. Akkor megyünk az erőforrás wireless.kernel.org (Users → Eszközök → PCI eszközök ... a Device list keresse meg és válassza ki a ath5k.), És megtudja, mi működik a készülék, és mi nem. Ezután be kell lásd a táblázatot «jelenleg támogatott PCI ID lista megfelelő állapot jelentés alapvető vizsgálata a fentiekben meghatározott», amely annak jelentőségét PCI ID (mi van írva a zárójelben szereplő kimenetét lspci -vnn | grep Wireless, t. vagyis ebben a példában - 168C :. 0013) tudjuk, hogy az adapter lehet, és mit nem. Ha úgy találja, hogy valamilyen oknál fogva az illesztőprogram nem támogatja az AP Mode - ne essen kétségbe. Bizonyos esetekben, például abban az esetben, az Atheros adapter, akkor használjon másik meghajtót, mint Madwifi, ami valószínűleg működőképes az AP mód, de számos funkciók illeszkednek hostapd.
Telepítése és konfigurálása a szoftvert.
Szükségünk lesz egy minimum csomag:
apt-get install wireless-tools híd-utils hostapd iw
Most meg kell állítania a hálózati interfészek:
# Ez a fájl írja a hálózati eszközök állnak rendelkezésre a rendszeren
# És hogyan aktiválja őket. További információkért lásd interfaces (5).
# A loopback hálózati interfész
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet kézikönyv
# Wireless Interface
iface wlan0 inet kézikönyv
pre-up iw dev wlan0 del
pre-up iw phy phy0 interfész hozzá wlan0 típusú __ap
# Híd.
iface br0 inet static
cím 192.168.1.122
192.168.1.0 hálózatban
netmask 255.255.255.0
sugárzott 192.168.1.255
átjáró 192.168.1.1
dns-névszerverek 192.168.1.1
bridge_ports eth0 wlan0
Ha létrehozásával ez az üzlet távolról, legyen óvatos, mert ha hibákat kell kapaszkodni a szerver monitor, billentyűzet és helyes, miután a kiszolgáló újraindítását.
Most állítsa hostapd, amely „tinó” A térkép a Wi-Fi.
Adja meg az utat, hogy a config
# Alapértelmezések hostapd initscript
#
# Lásd /usr/share/doc/hostapd/README.Debian vonatkozó információk alternatív
# Kezelési módszereit hostapd.
#
# Megjegyzésből és állítsa DAEMON_CONF az abszolút utat egy hostapd konfiguráció
# Fájl és hostapd indul a rendszerindítás során. Egy példa konfiguráció
# Fájl megtalálható a /usr/share/doc/hostapd/examples/hostapd.conf.gz
#
DAEMON_CONF = "/ etc / hostapd / hostapd.conf"
# További démon lehetőségeket kell csatolni hostapd parancsot: -
# -d azt mutatják, további hibakeresési üzenetek (-DD még több)
# -K közé kulcs adatait hibakeresési üzenetek
# -t tartalmaznak időbélyegei néhány debug üzeneteket
#
# Ne feledje, hogy -B (démon mód) és P (pid) opciók automatikusan
# Állítani a init.d script, és nem adhatunk DAEMON_OPTS.
#
# DAEMON_OPTS = ""
# Interface mi kártyák
interface = wlan0
# A név a híd
híd = br0
# Név illesztőprogram
driver = nl80211
# Országkód
COUNTRY_CODE = RU
# Kapcsolja be a nemzetközi
# Roaming bővítmények
ieee80211d = 1
# Munkaidő
hw_mode = g
# Csatorna száma
csatorna = 11
# Naplók összes modul
logger_syslog = -1
# Információ csak
logger_syslog_level = 2
# Naplók összes modul
logger_stdout = -1
# Információ csak
logger_stdout_level = 2
#
dump_file = / tmp / hostapd.dump
#
ctrl_interface = / var / run / hostapd
#
ctrl_interface_group = 0
# Nevét a TD
ssid = My Wlan
# Ha kell rejteni a meghatározás
# Név TD, meg 1
ignore_broadcast_ssid = 0
#
auth_algs = 3
#
eapol_key_index_workaround = 0
#
eap_server = 0
#
wpa = 3
#
rsn_pairwise = CCMP
# Jelszó minimum 8, maximum 63 karakter
wpa_passphrase = My_Big_Secret
wpa_key_mgmt = WPA-PSK
# Opcionális rész
# Engedélyezi szűrés MAC, egy választható opció
macaddr_acl = 1
# Adja meg a fájlt egy listát az engedélyezett MAC
# Csatlakozás a AP
# Csak az ügyfelek a listából
accept_mac_file = / etc / hostapd / fogadni
#
Valójában hostapd.conf beállítások fájl lehet sokkal több és különböző módon.
Amennyire tudtam, hoztam az alapvető paramétereket és beállításokat a táblázatban.
Nézd alatt spoiler.
spoiler
alapérték
csatornaszám (IEEE 802.11). Meg kell jegyezni, hogy egyes vezetők (például madwifi) nem használják az értékét hostapd amely esetben a csatornát kell egyedileg beállítható a közüzemi iwconfig.
macaddr_acl = 0
accept_mac_file = / etc / hostapd.accept
deny_mac_file = / etc / hostapd.deny
IEEE 802.11 leírnak két hitelesítési algoritmusok. hostapd is képes együtt dolgozni. „Open System» (Nyílt rendszerű hitelesítés) kell használni az IEEE 802.1X. értékek:
0 = nyílt rendszerű hitelesítés
1 = Shared Key Authentication (szükséges WEP)
Küldj egy üres mező a SSID broadcast üzeneteket és figyelmen kívül hagyja ügyfélkéréseket kérő AP nevét. Ie az a tény, hogy a Wi-Fi router az úgynevezett „rejtett hozzáférési pont” - az ügyfélnek meg kell tudni, hogy az SSID csatlakozni.
1 = küldjön egy üres (hossz = 0) SSID és figyelmen kívül hagyja, próba kérelmek az APS nevét.
2 = törölje a SSID (ASCII 0), de megőrzi az eredeti mező hosszának (szükségesek egyes ügyfeleknek, amelyek nem támogatják üres SSID) és figyelmen kívül hagyja vizsgálati kérelmeket.
Korlátozza inaktivitás kliens állomás. Ha az ügyfél nem továbbít egy meghatározott idő alatt a ap_max_inactivity (másodpercben), küld egy üres adat keret a kliens, hogy ellenőrizze a „Még mindig? Available” (például az ügyfél elhagyja az AP lefedettség). Ha a kérés volt a válasz (ACK), az ügyfél állomást le (az első deassotsiiruetsya majd deautentifitsiruetsya). Ez a funkció használható a jelet a táblázat aktív állomás a régi ( „halott”) rekordokat.
Options WPA. Megjegyzendő, hogy ez az opció szükséges erő az AP, hogy kérjen a WPA hitelesítési ügyfelek. (WPA-PSK és WPA-RADIUS / EAP). A WPA-PSK, meg kell adnia a WPA_PSK vagy wpa_passphrase és WPA-PSK wpa_key_mgmt. A WPA-RADIUS / EAP, dozhen konfigurálható IEEE8021X (anélkül, hogy a dinamikus WEP-kulcsok) konfigurálni kell RADIUS-kiszolgáló és benne van a WPA-EAP wpa_key_mgmt. Lehetséges értékek:
0 = nincs WPA / WPA2 (nem ajánlott)
1 = WPA (nem ajánlott)
2 = IEEE 802.11i / RSN (WPA2) - Ma legbiztonságosabb.
3 = mindkét engedélyezve WPA, WPA2 hitelesítés és
n / a
n / a
/etc/hostapd.wpa_psk
Lista az elfogadott kulcsfontosságú vezetői algoritmusok. (WPA-PSK, WPA-EAP, vagy mindkettő). Bejegyzés razdelyutsya problémákat. Használhatja a WPA-PSK-SHA256 és WPA-EAP-SHA256 további # kitartó algoritmusok alapján SHA256.
Set elfogadott titkosítási algoritmusokat. Szóközzel elválasztott listája algoritmusok:
CCMP = AES Counter módban CBC-MAC [RFC 3610, IEEE 802.11i / D7.0]
TKIP = Temporal Key Integrity Protocol [IEEE 802.11i / D7.0]
Páros titkosítást WPA (v1) (alapértelmezett: TKIP) wpa_pairwise = TKIP CCMP
Páros titkosítási algoritmusok RSN / WPA2 (alapértelmezett érték wpa_pairwise) rsn_pairwise = CCMP
szolgáltatás hostapd újraindítás
# 91; rendben # 93; Megállás fejlett IEEE 802.11 kezelése: hostapd.
# 91; A FAIL # 93; Kezdve a fejlett IEEE 802.11 kezelése: hostapd nem sikerült!
Run kulcs
hostapd -d /etc/hostapd/hostapd.conf
véletlenszerű: Próbálok olvasni entrópia a / dev / random
Konfigurációs fájlt: /etc/hostapd/hostapd.conf
WPA-PSK engedélyezve van, de PSK vagy jelszót nincs beállítva.
1 talált hibák konfigurációs fájlban „/etc/hostapd/hostapd.conf”
Kiderült, a célba wpa_passphrase elfelejtette a jelszót.
Iptables beállítása és az IP továbbítás
Következő lépésként be kell állítani séta a hálózati csomagokat közötti interfészek a helyes irányba. Ehhez létre szabályokat file:
# Internet (megváltoztatása internetes felületen)
Inet_Interface = "eth0"
# Lan (módosíthatja a hálózati interfész a híd)
Lan_Interface = "br0"
# Lo (helyi intefeys - hurok)
Lo_Interface = "lo"
# Leírja az út a iptables
IPT = "/ sbin / iptables"
# Törlés a jelenlegi szabályok (ha hirtelen van szabályokra)
$ IPT -F
$ IPT -t nat -F
$ IPT -t mangle -F
$ IPT -X
$ IPT -t nat -X
$ IPT -t mangle -X
# Alapértelmezett politika
$ IPT -P INPUT DROP
$ IPT -P FORWARD DROP
$ IPT -P OUTPUT DROP
# Létrehozása lánc feldolgozására a rossz csomagot.
# bad_packets
$ IPT-N bad_packets
$ IPT -A bad_packets -p tcp --tcp-flags SYN, ACK SYN, ACK \
-m állam --state NEW -j REJECT --reject-TCP-visszaállítási
$ IPT -A bad_packets -p tcp. --syn -m state --state ÚJ \
-j LOG --log-előtag "Új nem syn:"
$ IPT -A bad_packets -p tcp. --syn -m state --state NEW -j DROP
# Készítsen lánc a bejövő (az internetről) tcp kapcsolatokat.
# tcp_p
$ IPT-N tcp_p
# Például, hogy mások kapcsolódni az átjáró az internetről ssh:
## ssh = "22"
## ssh_ip_allowed = "0/0"
## $ IPT -A tcp_p -p tcp -s $ ssh_ip_allowed --dport $ ssh -j ACCEPT
$ IPT -A tcp_p -p tcp -s 0/0 -j DROP
# Készítsen lánc a bejövő (az internetről) UDP kapcsolatokat.
# udp_p
$ IPT-N udp_p
$ IPT -A udp_p -p udp -s 0/0 -j DROP
# Készítsen lánc a bejövő (az internetről) ICMP kapcsolatokat.
# icmp_p
$ IPT-N icmp_p
# Engedélyezése „ping” a mi gateway az internetről:
$ IPT -A icmp_p -p icmp -s 0/0 --icmp-8-as típusú -j ACCEPT
$ IPT -A icmp_p -p icmp -s 0/0 --icmp típusú 11 -j ACCEPT
$ IPT -A icmp_p -p icmp -s 0/0 -j DROP
$ IPT -A INPUT -p tcp -j bad_packets
$ IPT -A INPUT -p minden -i $ Lan_Interface -j ACCEPT
$ IPT -A INPUT -p minden -i $ Lo_Interface -j ACCEPT
$ IPT -A INPUT -p minden -i $ Inet_Interface -m state --state \
LÉTRE kapcsolódó -j ACCEPT
$ IPT -A INPUT -p tcp -i $ Inet_Interface -j tcp_p
$ IPT -A INPUT -p udp -i $ Inet_Interface -j udp_p
$ IPT -A INPUT -p icmp -i $ Inet_Interface -j icmp_p
$ IPT -A FORWARD -p tcp -j bad_packets
$ IPT -A FORWARD -p minden -i $ Lan_Interface -j ACCEPT
$ IPT -A FORWARD -p minden -i $ Lo_Interface -j ACCEPT
$ IPT -A FORWARD -p minden -i $ Inet_Interface -m state \
--kialakult állapotnak, KAPCSOLÓDÓ -j ACCEPT
$ IPT -A OUTPUT -p tcp -j bad_packets
$ IPT -A OUTPUT -p minden -o $ Inet_Interface -j ACCEPT
$ IPT -A OUTPUT -p minden -o $ Lan_Interface -j ACCEPT
$ IPT -A OUTPUT -p minden -o $ Lo_Interface -j ACCEPT
# Chain POSTROUTING (nat tábla)
$ IPT -t nat -A POSTROUTING -o $ Inet_Interface -j MASQUERADE
# Turn átirányítani IPv4.
echo "1"> / proc / sys / net / ipv4 / ip_forward
echo „tűzfal kezdődött”
Megtartása és futtathatóvá teszi a fájlt:
chmod + x /etc/network/if-up.d/firewall