Lusticky

Návod nastavení sdílení připojení k internetu přes WiFi.
Uvedeným postupem vytvoříme privátní sít, kterému bude stroj s Linuxem dělat NAT.
V návodu předpokládám, že wlan0 je rozhraní pro bezdrátové spojení a na rozhraní eth0 je přípustpné připojení k internetu.

1. Nainstalovat hostapd - nástroj pro vytvoření WiFi sítě a její zabezpečení
Konfigurace pro WPA2 připojení /etc/hostapd/hostapd.conf:

interface=wlan0
driver=nl80211  # ovladac pro wifi kartu
ssid=NAZEV_SITE
channel=CISLO_KANALU
hw_mode=g
ieee80211n=1    # pokud chceme Wifi N
wmm_enabled=1   # wireless multmedia extension - pokud bude mit pomale spojeni zkuste =0
country_code=CZ
wpa=2
wpa_passphrase=HESLO
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP

2. Volitelně - Omezení síly vysílaného signálu:

# iwconfig wlan0 txpower 3

3. DHCP a DNS pomocí dnsmasq
Konfigurace v souboru /etc/dnsmasq.conf

listen-address=192.168.3.1
interface=wlan0
bind-interfaces  # dnsmasq bude naslouchat pouze na zvolenem interface
dhcp-range=192.168.3.11,192.168.3.19,12h  # rozsah IP adres a lease time

Přiřadíme si ip adresu na wlan0 a povolíme IPv4 forwarding:

# ip addr add 192.168.3.1/24 dev wlan0
# sysctl net.ipv4.ip_forward=1

Nyní můžeme spustit dnsmasq.

4. Povolíme NAT v iptables

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

5. Pokud budete mít pomalé spojení, má hostapd nedostatek entropie pro šifrování.
Dostupnou entropii zjistíte příkazem

cat /proc/sys/kernel/random/entropy_avail

pokud je kolem 1000 a méně, nainstalujte balík haveged a spusťte daemona při každém startu počítače.

pacman -S iptables

sudoedit /etc/iptables/iptables.rules

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 

#-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
#-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
#-A INPUT -j REJECT --reject-with icmp-proto-unreachable

# SSH omezeni na 4 pokusy behem 60 sekund
-A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -m recent --set
-A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
-A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -j ACCEPT
# www 80
-A INPUT -p tcp -i eth0 --dport www -m state --state NEW -j ACCEPT
# https 443
-A INPUT -p tcp -i eth0 --dport https -m state --state NEW -j ACCEPT
# ftp 21
#-A INPUT -p tcp -i eth0 --dport ftp -m state --state NEW -j ACCEPT
# Jabber s2s
-A INPUT -p tcp -i eth0 --dport 5280 -m state --state NEW -j ACCEPT
# Jabber 5222
-A INPUT -p tcp -i eth0 --dport xmpp-client -m state --state NEW -j ACCEPT
# Jabber 5269
-A INPUT -p tcp -i eth0 --dport xmpp-server -m state --state NEW -j ACCEPT
# CS 1.6
-A INPUT -p udp -i eth0 --dport 27015 -m state --state NEW -j ACCEPT
#-A INPUT -p tcp -i eth0 --dport 26900 -m state --state NEW -j ACCEPT

Pokud chcete možnost nefiltrovat navázáné FTP spojení i přes změnu portu (pasivní FTP spojení), přidejte do /etc/conf.d/iptables modul ip_conntrack_ftp:

...

IPTABLES_MODULES="ip_conntrack_ftp"

Popis instalace a nastavení OpenWRT verze 10.03 Backfire na wi-fi router Asus WL-500g Premium.

Budu opět instalovat nejnovější OpenWRT, článek bude aktualizován.

Read more...

Pořídil jsem si notebook Mivvy M310 a chci mít soukromá data zašifrována.
Na výběr jsou 2 možnost: šifrovat celý oddíl (či dokonce celý disk) nebo šifrovat pouze ty věci, pro které to má smysl.
První metoda má zásadní nevýhodu - část výkonu procesoru padne na šifrování všech dat (a to i těch u kterých to nepotřebujete).
Zvolil jsem tedy metodu šifrovat pouze části disku nebo jednotlivá data. Pomocí programů Truecrypt, EncFS nebo GnuPG je to hračka.

Read more...

Postup jakým jsem sprovoznil WLAN s různými typy šifrování na Archlinuxu. Návod lze použít i obecně pro jakoukoli distribuci - vynechejte 1. krok, který automatizuje nastavení pro Arch a pokračujte krokem 1.1.
English version of this article: Wireless network Wi-Fi and Archlinux.

Read more...