Содержание
[WiFi Hostapd AP] Программа для создания точки доступа WiFi
Эта программа создана с целью облегчить создание точки доступа WiFi на основе Hostapd и DNSMASQ.
Возможности программы
- Создание точки доступа в пару кликов.
- Поддержка WAP3 (WPA-PSK+WPA2).
- Поддержка скрытых сетей.
- Готовые настройки по-умолчанию.
- Поддержка 802.11 b/g/n.
- Язык интерфейса: русский и английский.
- Отображение статистики (трафик, клиенты).
В данный момент актуальна версия 1.1
Установка программы
$ sudo apt-add-repository ppa:ekozincew/ppa $ sudo apt-get update $ sudo apt-get install wifi-hostapd-ap
Настройка программы
У меня заработало с такими параметрами:
Также в настройках DNSMASQ'a выберите правильный интерфейс подключения к интернету, иначе у вас его не будет.
Проблемы с Network Manager
Обнаружилось, что довольно часто Network Manager мешает нормальному запуску программной точки доступа. Есть два варианта решения данной проблемы: 1) отключить Network Manager, как это сделать описано ниже в этой статье 2) запретить ему управлять WI-FI модулем. Дя этого потребуется добавить в конфигурационный файл /etc/NetworkManager/NetworkManager.conf следующие строки:
[keyfile] unmanaged-devices=mac:<здесь пишем MAC-адрес нашего wi-fi модуля>
После этого выполняем
restart network-manager
Теперь NetworkManager не управляет wi-fi модулем и не мешает нормально работать hostapd
Тема на форуме: WiFi Hosapd AP
Старый способ
Краткое описание руководства
В данном руководстве объясняется, как организовать программный Wi-Fi-роутер на основе Wi-Fi адаптера и компьютера под управлением Ubuntu. Все действия описаны для CLI интерфейса и подходят к воспроизведению на серверной версии дистрибутива. Если вы используете desktop версию с GUI - просто выполняйте все в терминале. Подразумевается, что вы имеете уже настроенное интернет-соединение, доступ к которому вы хотите предоставить некой локальной сети, в которую входят клиенты подключенные как через ethernet (проводная сеть), так и через Wi-Fi .
Прежде чем начать
Совместимость оборудования
В качестве точки доступа 1) в данном примере выступает обыкновенная Wi-Fi плата, которая может быть встроенной в вашу материнскую плату, или быть подключена через PCI или USB. За программную часть ТД отвечает специальный демон hostapd и драйвер самого Wi-Fi адаптера. Несмотря на достаточно хорошую поддержку беспроводного оборудования в linux, некоторые свободные реализации драйверов не обеспечивают стопроцентной поддержки своих устройств. И если в случае, когда Wi-Fi адаптер выступает в качестве клиента, большинство устройств работают хорошо, то в случае с AP-режимом 2) некоторые устройства вообще невозможно использовать в режиме точки доступа. Поэтому прежде чем начать - убедитесь, что вы настраиваете устройство, поддерживающее AP-Mode. Для этого нужно сначала узнать что это за устройство. Сделать это можно так:
$ lspci | grep Ethernet # или $ lspci | grep Wireless # или для usb адаптера $ lsusb | grep Wireless
Вывод должен быть примерно таким:
$ lspci -vnn | grep Ethernet 01:00.0 Ethernet controller [0200]: Atheros Communications Inc. AR5001 Wireless Network Adapter [168c:001c] (rev 01) 03:00.0 Ethernet controller [0200]: Attansic Technology Corp. Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller [1969:1026] (rev b0)
В моем случае это Atheros Communications Inc. AR5001 Wireless Network Adapter [168c:001c] (rev 01)
. Теперь зная название устройства, можно посмотреть на используемый драйвер:
dmesg | grep Atheros
Ответ должен быть примерно таким:
$ dmesg | grep Atheros [23728.560014] ath5k phy0: Atheros AR2425 chip found (MAC: 0xe2, PHY: 0x70)
Где ath5k и есть используемый драйвер. Далее нужно обратиться к ресурсу wireless.kernel.org и узнать, что работает для вашего устройства, а что нет. Продолжая пример про ath5k мне нужно перейти wireless.kernel.org по вкладкам: Users → Devices → PCI devices…. и в списке Device list найти и выбрать ath5k. Затем нужно обратиться к таблице «Currently supported PCI ID list with respective status report on basic-testing as defined above» в которой по своему значению PCI ID 3) узнать, что ваш адаптер может, а что нет. Если вы обнаружили, что по той или иной причине ваш драйвер не поддерживает режим ТД - не стоит отчаиваться. В некоторых случаях, например, в случае с адаптерами от Atheros, вы можете использовать другой драйвер, например Madwifi, который скорее всего будет нормально работать в режиме ТД, но имеет ряд особенностей в настройке с hostapd .
Network Manager
На десктопных системах по умолчанию установлен менеджер сетевых соединений - NetworkManager. Его автоматическая работа может помешать процедуре настройки, поэтому настоятельно рекомендуется его отключить. Как это сделать - описано в статье Отключение Network Manager'а.
Другие интерфейсы
Перед началом настройки, убедитесь, что все остальные сетевые интерфейсы подключены и работают нормально. Если вы еще не настроили интерфейс, отвечающий за интернет соединение - самое время сделать это сейчас. Более подробно про настройку сетевых интерфейсов можно почитать тут.
Скорость передачи данных
Реальная скорость передачи данных по каналу WiFi значительно отличается от заявленных производителем, кроме того- чем больше устройств работает на одной точке доступа- тем меньше пропускная способность (канал делится на количество клиентов). Ниже приведена таблица, отображающая технические характеристики различных протоколов передачи данных интерфейса WiFi, для одного устройства.
Протокол | Используемая частота | Максимальная теоретическая скорость | Типичная скорость на практике | Дальность связи в помещении | Дальность связи на открытой местности |
---|---|---|---|---|---|
802.11b | 2.4ГГц | 11Мбит/сек | 0.4Мбайт/сек | 38 | 140 |
802.11a | 5ГГц | 54Мбит/сек | 2.3Мбайт/сек | 35 | 120 |
802.11g | 2.4ГГц | 54Мбит/сек | 1.9Мбайт/сек | 38 | 140 |
802.11n | 2.4ГГц,5ГГц | 600Мбит/сек | 7.4Мбайт/сек | 70 | 250 |
Установка необходимых пакетов и обновление
Для настройки нам понадобятся утилиты для работы с беспроводным сетевым оборудованием wireless-tools
(которые скорее всего уже установлены в вашей системе), утилиты для работы с сетевым мостом bridge-utils
, собственно сам демон ТД hostapd
, какой нибудь DHCP сервер (я предпочитаю dnsmasq
, т.к. он одновременно может выступать как DNS-форвардер и как DHCP сервер, и к тому же, обладает удобным и хорошо комментированным файлом настройки). Обязательно стоит обновить систему, т.к. скорее всего в комплекте обновления будет новое linux ядро, а с каждой новой версией ядра вы получаете и новые версии драйверов, что может заметно расширить возможности вашего адаптера. 4)
Обновляем систему:
sudo apt-get update sudo apt-get upgrade
Затем перезагружаемся:
sudo shutdown -r now
или
sudo reboot
И ставим необходимые пакеты:
sudo apt-get install wireless-tools bridge-utils hostapd dnsmasq
Настройка интерфейсов
madwifi
, которые несколько специфичны в настройке. В любом случае - эта статья в wiki разделе, если вы обладаете бОльшей информацией на эту тему - пожалуйста, не проходите мимо… [MadKox]
Настройка беспроводного интерфейса
Прежде всего вам нужно перевести беспроводной адаптер в режим точки доступа. В зависимости от драйвера вам нужно попробовать несколько способов. В принципе - адаптер переводится в режим ТД командой:
sudo iwconfig wlan0 mode Master
Где wlan0 - имя вашего беспроводного интерфейса.
Однако, в некоторых случаях, этот способ не сработает, тогда вам нужно сначала «удалить» старый интерфейс и «создать» новый, с режимом ТД. Для этого вам понадобится утилита iw
установить которую можно например так:
sudo apt-get install iw
Далее выполните:
sudo iw dev wlan0 del sudo iw phy phy0 interface add wlan0 type __ap
Где wlan0 - имя вашего интерфейса. Обратите внимание на конец второй строчки приведенной команды - _ _ a p - перед символами ap два символа подчеркивания.
Если у вас madwifi
перевод адаптера в режим ТД выглядит так:
sudo wlanconfig ath0 destroy sudo wlanconfig ath0 create wlandev wifi0 wlanmode ap sudo iwconfig wlan0 mode Master
В любом случае, после этих действий, команда iwconfig
, запущенная без параметров, должна выдать примерно следующее:
wlan0 IEEE 802.11bg Mode:Master Frequency:2.462 GHz Tx-Power=20 dBm Retry long limit:7 RTS thr:off Fragment thr:off Power Management:off Link Quality:0 Signal level:0 Noise level:0 Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Обратите внимание на значение Mode:Master - это значит, что адаптер работает в режиме точки доступа.
Для закрепления результата необходимо внести изменения в файл /etc/network/interfaces 5) и добавить настройки вашего беспроводного интерфейса:
iface wlan0 inet manual pre-up iw dev wlan0 del pre-up iw phy phy0 interface add wlan0 type __ap
Настройка моста
Для того, чтобы объединить вашу проводную локальную сеть с беспроводной 6) в одну - вам нужно создать сетевой мост между ними. Таким образом вы сможете подключать компьютеры-клиенты к общей сети как через Wi-Fi, так и через обычный Ethernet 7).
Для этого вам нужно отредактировать файл /etc/network/interfaces и внести в него следующие настройки:
iface br0 inet static address 192.168.0.1 network 192.168.0.0 netmask 255.255.255.0 broadcast 192.168.0.255 bridge_ports eth1 wlan0
Где: br0 - имя интерфейса-моста, eth1 - интерфейс, «смотрящий» в локальную сеть, wlan0 - беспроводной интерфейс, а самой локальной сети назначается адресация 192.168.0.0/24.
Стоит заметить, что интерфейс eth1 не нужно дополнительно описывать в файле interfaces , т.к. ifupdown разберется с ним автоматически, при включении интерфейса br0.
Итоговый interfaces
В итоге, после всех приведенных выше манипуляций вы должны были получить файл /etc/network/interfaces примерно такого содержания:
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # loopback-интерфейс auto lo iface lo inet loopback # Интернет-интерфейс. Он подключен к провайдеру. auto eth0 iface eth0 inet static address 192.168.254.35 netmask 255.255.255.0 gateway 192.168.254.1 auto wlan0 br0 # Беспроводной интерфейс iface wlan0 inet manual pre-up iw dev wlan0 del pre-up iw phy phy0 interface add wlan0 type __ap # Мост. iface br0 inet static address 192.168.0.1 network 192.168.0.0 netmask 255.255.255.0 broadcast 192.168.0.255 bridge_ports eth1 wlan0
Теперь вы можете перезапустить сеть командой:
sudo /etc/init.d/networking restart
И посмотреть, что из этого получилось при помощи ifconfig
. Если вы нигде не ошиблись - вы увидите все свои интерфейсы, в том числе не описанный в interfaces
eth1 и br0. Для просмотра информации о сетевом мосте можно использовать:
brctl show
Настройка hostapd
Теперь, когда все подготовительные действия выполнены нужно настроить собственно точку доступа - hostapd . Основной файл настроек hostapd - /etc/hostapd/hostapd.conf
. Лучше сразу создать его резервную копию, т.к. сам файл содержит большое количество подробных комментариев о настройке, и в случае, если вы что-то удалите - вы всегда сможете обратиться к оригиналу:
sudo cp /etc/hostapd/hostapd.conf /etc/hostapd/hostapd.conf.original
Файл hostapd.conf
содержит в себе список опций, которые принимают то или иное значения и все вместе влияют на конфигурацию hostapd . Каждая опция снабжена достаточно подробным комментарием 8). Вот некоторые основные опции:
Параметр | Описание | Значение по умолчанию |
---|---|---|
interface | Устройство точки доступа. Т.е. то сетевое устройство, которое является Wi-Fi адаптером. Например, wlan0 или, например, ath0 в случае madwifi. | n/a |
bridge | Если используются madwifi, atheros, или nl80211 - может быть использован дополнительный параметр - bridge. С его помощью можно сказать hostapd что используемый интерфейс включен в сетевой мост. Если параметр не задан - драйверы автоматически определят интерфейс моста. | n/a |
driver | Тип драйвера. (hostap/wired/madwifi/test/none/nl80211/bsd). nl80211 для всех «Linux mac80211 drivers». madwifi для madwifi (кто бы мог подумать?) Если задать none - hostapd будет работать как выделенный RADIUS сервер, не управляя каким либо интерфейсом. | hostap |
logger_syslog logger_syslog_level logger_stdout logger_stdout_level | Опции журналирования. Два метода вывода сообщений: syslog и stdout (последний полезен только в случае простого запуска hostapd - не в режиме демона). Возможные значения: -1 = все модули. 0 = IEEE 802.11 1 = IEEE 802.1X 2 = RADIUS 3 = WPA 4 = driver interface 5 = IAPP 6 = MLME Уровни журналов: 0 = verbose debugging 1 = debugging 2 = informational messages 3 = notification 4 = warning | logger_syslog=-1 logger_syslog_level=2 logger_stdout=-1 logger_stdout_level=2 |
ssid | SSID (имя точки доступа) | test |
country_code | Country code (ISO/IEC 3166-1). Используется для установки региональных ограничений. Задает страну, в которой работает точка доступа. В зависимости от выбранной страны может влиять на количество и номера доспупных каналов и мощность сигнала. | US |
ieee80211d | Включить IEEE 802.11d (Интернациональные роуминговые расширения (2001)). В зависимости от параметра country_code задает список доступных каналов и устанавливает мощность сигнала на основе ограничений, действующих в этой стране. | 0 = выключено |
hw_mode | Режим работы. (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g) | b |
channel | Номер канала (IEEE 802.11). Стоит заметить, что некоторые драйверы (например madwifi) не используют это значение из hostapd и в таком случае канал должен быть задан отдельно через утилиту iwconfig. | 0, т.е. не задан |
macaddr_acl accept_mac_file deny_mac_file | Аутентификация на основе MAC адресов клиентских станций. Cтоит заметить, что подобный вид аутентификации требует драйвер, использующий hostapd для управления обработки кадров, т.е. это может быть использовано с driver=hostap или driver=nl80211, но не с driver=madwifi. 0 = принимать клиента, если его нет в «черном списке» 1 = отклонять клиента, если его нет в «белом списке» 2 = использовать внешний RADIUS сервер. (черные/белые списки обрабатываются первыми). Черные/белые списки читаются из отдельных файлов (которые содержат MAC адреса - по одному на строку). Необходимо указывать абсолютный путь. | macaddr_acl=0 accept_mac_file=/etc/hostapd.accept deny_mac_file=/etc/hostapd.deny |
auth_algs | IEEE 802.11 описывает 2 алгоритма аутентификации. hostapd может работать с обоими. «Открытая система» (Open system authentication) должна быть использована с IEEE 802.1X. Значения: 0 = Open System Authentication 1 = Shared Key Authentication (требуется WEP) | 3 |
ignore_broadcast_ssid | Посылать пустое поле SSID в широковещательных сообщениях и игнорировать запросы от клиентов, запрашивающие имя ТД. Т.е. то, что в Wi-Fi роутерах называется «скрывать точку доступа» - клиент должен знать SSID для соединения. 1 = посылать пустой (length=0) SSID и игнорировать probe запросы на имя ТД. 2 = очистить SSID (ASCII 0), но сохранить оригинальную длину поля (требуется для некоторых клиентов, которые не поддерживают пустой SSID) и игнорировать probe запросы. | выключено (0) |
ap_max_inactivity | Лимит неактивности клиентской станции. Если клиент ничего не передает в течение времени, указанном в ap_max_inactivity (секунды), посылается пустой дата-фрейм клиенту с целью проверки «А доступен ли он еще?» (Например, клиент мог покинуть зону покрытия ТД). Если на запрос на было ответа (ACK), станция клиента отключается (сначала деассоциируется, затем деаутентифицируется). Эта функция используется для очистки таблицы активных станций от старых («мертвых») записей. | 300 (т.е., 5 минут) |
wpa | Опции WPA. Указание этого параметра требуется чтобы заставить ТД требовать от клиентов WPA аутентификации. (WPA-PSK или WPA-RADIUS/EAP). Для WPA-PSK, нужно указать wpa_psk или wpa_passphrase и включить WPA-PSK в wpa_key_mgmt. Для WPA-RADIUS/EAP, дожен быть настроен ieee8021x (без динамических WEP ключей), должен быть сконфигурирован RADIUS сервер и включено WPA-EAP в wpa_key_mgmt. Возможные значения: 0 = без WPA/WPA2 (не рекомендуется) 1 = WPA (не рекомендуется) 2 = IEEE 802.11i/RSN (WPA2) - на сегодня безопаснее всего. 3 = разрешена как WPA, так и WPA2 аутентификация | 1 |
wpa_psk wpa_passphrase wpa_psk_file | Ключи WPA для WPA-PSK. Могут быть заданы как 256-битным ключем в шестнадцатиричном формате (64 hex digits), так и в виде wpa_psk (в виде ASCII фразы 8..63 символа). В полседнем случае фраза будет сконвертирована в PSK, при этом используется SSID, таким образом, PSK меняется каждый раз когда меняется SSID. Дополнительно, есть возможность счтывать WPA PSK из файла, содержащего список MAC адресов и PSK (по паре MAC - PSK на строку). Таким образом можно настроить несколько PSK. Нужно указывать абсолютный путь до файла с ключами. | n/a n/a /etc/hostapd.wpa_psk |
wpa_key_mgmt | Список принимаемых алгоритмов управления ключами. (WPA-PSK, WPA-EAP, или оба). Записи разделются проблами. Можно использовать WPA-PSK-SHA256 и WPA-EAP-SHA256 для# более стойких алгоритмов, основанных на SHA256. | WPA-PSK WPA-EAP |
wpa_pairwise rsn_pairwise | Набор принимаемых алгоритмов шифрования. Разделенный пробелами список алгоритмов: CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0] TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0] | Парные алгоритмы шифрования для WPA (v1) (по умолчанию: TKIP) wpa_pairwise=TKIP CCMP Парные алгоритмы шифрования для RSN/WPA2 (по умолчанию: используется значение wpa_pairwise) rsn_pairwise=CCMP |
Пример конфигурационных файлов для точки доступа со скрытым SSID и авторизацией WPA2 на основе MAC адресов клиентских станций:
hostapd.conf
interface=wlan0 bridge=br0 driver=nl80211 hw_mode=g channel=11 logger_syslog=-1 logger_syslog_level=2 logger_stdout=-1 logger_stdout_level=2 debug=0 dump_file=/tmp/hostapd.dump ctrl_interface=/var/run/hostapd ctrl_interface_group=0 ssid=Ubuntu ignore_broadcast_ssid=1 auth_algs=3 eapol_key_index_workaround=0 eap_server=0 wpa=3 wpa_psk_file=/etc/hostapd/wpa_psk wpa_key_mgmt=WPA-PSK rsn_pairwise=CCMP
/etc/hostapd/wpa_psk
# Мой ноут: 00:0A:1B:2C:3D:4E my_big_secret # Все остальные: 00:00:00:00:00:00 secret_password_for_everyone # А удобно, правда?
Теперь, когда мы настроили hostapd самое время установить его на автоматический запуск при загрузке системы. Для этого нужно отредактировать файл /etc/default/hostapd
9)и изменить закомментированные строки на:
RUN_DAEMON="yes" DAEMON_CONF="/etc/hostapd/hostapd.conf"
Настройка общего доступа
После перезагрузки компьютера мы сможем «увидеть» свою точку доступа, однако вряд ли сможем подключиться к ней, т.к. нам пока никто не может раздать сетевые параметры и доступ к интернету. Поэтому необходимо выпонить ряд общих действий, не связанных в принципе с Wi-Fi, но необходимых для разделения одного интернет-канала на несколько компьютеров.
Настройка iptables и ip форвардинга
В GNU/Linux в общем и в Ubuntu в частности присутствует замечательный программный файерволл, работающий на уровне ядра операционной системы - Netfilter . Существует утилита, под названием iptables , служащая для управления netfilr'ом и позволяющая достаточно тонко настроить правила проходжения пакетов через шлюз. Более подробно см. в соответствующей статье (скоро будет). Для настройки фаерволла в нашем случае нужно создать скрипт, например, в /etc/firewall/iptables
10) и вставить в него следующий текст:
#! /bin/sh # ####################### # Настройка интерфейсов ####################### # Internet (Поменяйте на ваш интернет-интерфейс) Inet_Interface="eth0" # Lan (поменяйте на ваш интерфейс сетевого моста) Lan_Interface="br0" # Lo (локальный интефейс - петля) Lo_Interface="lo" # Описываем путь до iptables IPT="/sbin/iptables" # Очищаем текущие правила (если вдруг есть какие-то правила) $IPT -F $IPT -t nat -F $IPT -t mangle -F $IPT -X $IPT -t nat -X $IPT -t mangle -X # Задаем политики по умолчанию $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP # Создаем цепочку для обработки неправильных пакетов. # bad_packets $IPT -N bad_packets $IPT -A bad_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \ -m state --state NEW -j REJECT --reject-with tcp-reset $IPT -A bad_packets -p tcp ! --syn -m state --state NEW \ -j LOG --log-prefix "New not syn:" $IPT -A bad_packets -p tcp ! --syn -m state --state NEW -j DROP # Создаем цепочку для обработки входящих (из интернета) tcp соединений. # tcp_p $IPT -N tcp_p # Чтобы, например, разрешить подключаться к нашему шлюзу из интернета по ssh: ##ssh="22" ##ssh_ip_allowed="0/0" ##$IPT -A tcp_p -p tcp -s $ssh_ip_allowed --dport $ssh -j ACCEPT $IPT -A tcp_p -p tcp -s 0/0 -j DROP # Создаем цепочку для обработки входящих (из интернета) udp соединений. # udp_p $IPT -N udp_p $IPT -A udp_p -p udp -s 0/0 -j DROP # Создаем цепочку для обработки входящих (из интернета) icmp соединений. # icmp_p $IPT -N icmp_p # Разрешаем "пинговать" наш шлюз из интернета: $IPT -A icmp_p -p icmp -s 0/0 --icmp-type 8 -j ACCEPT $IPT -A icmp_p -p icmp -s 0/0 --icmp-type 11 -j ACCEPT $IPT -A icmp_p -p icmp -s 0/0 -j DROP # Цепочка INPUT $IPT -A INPUT -p tcp -j bad_packets $IPT -A INPUT -p all -i $Lan_Interface -j ACCEPT $IPT -A INPUT -p all -i $Lo_Interface -j ACCEPT $IPT -A INPUT -p all -i $Inet_Interface -m state --state \ ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp -i $Inet_Interface -j tcp_p $IPT -A INPUT -p udp -i $Inet_Interface -j udp_p $IPT -A INPUT -p icmp -i $Inet_Interface -j icmp_p # Цепочка FORWARD $IPT -A FORWARD -p tcp -j bad_packets $IPT -A FORWARD -p all -i $Lan_Interface -j ACCEPT $IPT -A FORWARD -p all -i $Lo_Interface -j ACCEPT $IPT -A FORWARD -p all -i $Inet_Interface -m state \ --state ESTABLISHED,RELATED -j ACCEPT # Цепочка OUTPUT $IPT -A OUTPUT -p tcp -j bad_packets $IPT -A OUTPUT -p all -o $Inet_Interface -j ACCEPT $IPT -A OUTPUT -p all -o $Lan_Interface -j ACCEPT $IPT -A OUTPUT -p all -o $Lo_Interface -j ACCEPT # Цепочка POSTROUTING (таблица nat) $IPT -t nat -A POSTROUTING -o $Inet_Interface -j MASQUERADE # Включаем перенаправление ipv4. echo "1" > /proc/sys/net/ipv4/ip_forward echo "Firewall started" exit 0
Далее нужно сделать этот скрипт исполняемым:
sudo chmod +x /etc/firewall/iptables
И установить его на автоматический запуск при инициализации сетевых служб:
sudo ln -s /etc/firewall/iptables /etc/network/if-up.d/firewall
Настройка dnsmasq
Теперь осталось только настроить DHCP сервер для автоматической выдачи IP адресов клиентам и форвардинг DNS запросов из нашей сети (чтобы не пришлось прописывать DNS адреса на каждой машине, а можно было пользоваться локальным адресом шлюза в качестве DNS сервера). Для этой цели замечательно подходит dnsmasq . Нужно открыть файл его конфигурации 11) - /etc/dnsmasq.conf
и поменять параметры:
# Не обрабатывать адреса не содержашие доменной части. domain-needed # Не перенаправлять адреса, ведущие в немаршрутизируемое адресное пространство. bogus-priv # Ограничить работу dnsmasq определенным интерфейсом interface=br0 # Включить DHCP сервер и задать диапазон назначаемых адресов. dhcp-range=192.168.0.10,192.168.0.255,12h
Теперь можно перезагрузить шлюз и попытаться соединиться с ним по Wi-Fi или через Ethernet. Если по какой-то причине что-то не работает - внимательно перечитайте руководство и поищите ошибки в ваших конфигурационных файлах. Не забудьте, что если вы используете скрытый SSID вашей точки доступа - она не будет отображаться в списке доступных беспроводных сетей на машинах клиентов - в этом случае вам необходимо вручную указать SSID при подключении.
Как улучшить эту статью
Было бы просто замечательно, если бы кто-то попробовал прогнать это руководство на madwifi
устройствах и описал возможные различия в необходимых настройках.
И см. заметку в главе про настройку оборудования.
UPD: А еще было бы неплохо описать различные утилиты внешнего управления hostapd и их настройку.
Прокомментируйте настройку eth0 в /etc/network/interfaces. Какой тип подключения подразумевается под этим интерфейсом? Что делать, если для связи с Интернетом требуется авторизация по VPN?
Ссылки
Раздел Администрирование
Настройка сети вручную
Отключение Network Manager'a
HowTo статья на форуме
Описание стандарта Wi-Fi
Описание протокола WPA2
Немного интересного про безопасность Wi-Fi сетей
Описание ad hoc
Статья о настройке Wi-Fi на ubuntuforums.org
Ресурс, посвященный Wi-Fi устройствам в Linux
Настройка АП через network manager в ubuntu 14.04 на англ языке.
sudo nano /etc/network/interfaces, вместо nano вы можете использовать ваш любимый текстовый редактор, после внесения изменений нужно их сохранить. Более подробно про nano см. man nano .
sudo nano /etc/default/hostapd
sudo mkdir /etc/firewall sudo nano /etc/firewall/iptables
sudo nano /etc/dnsmasq.conf