HOME
  Security
   Software
    Hardware
  
FPGA
  CPU
   Android
    Raspberry Pi
  
nLite
  Xcode
   etc.
    ALL
  
LINK
BACK
 

2016/08/30

Raspberry Pi 3の WiFiを広告ブロック機能付きの無線LANアクセスポイント化 hostapd + dnsmasq編 Raspberry Pi 3の WiFiを広告ブロック機能付きの無線LANアクセスポイント化 hostapd + dnsmasq編

(ラズパイ3に内蔵の WiFiをアドブロック機能付きの高機能ルータにする方法(広告+詐欺+アダルトブロック機能付き))

Tags: [Raspberry Pi], [電子工作], [セキュリティ]





● Raspberry Pi 3 Model Bを遂に購入

 Raspberry Pi3 Model B RPI2 RPI3

 大人気の CPUボードの Raspberry Piに WiFiと Bluetoothが搭載されたモデルが新発売となりました。
 以前から Raspberry Pi 2を買おうかどうか迷っていましたが、Raspberry Pi 3 Model Bの発売を機に購入を決意してラズベリアンになる事にしました。

 ※ ラズパイの OS Raspbianはバージョンが上がる毎に過去の版と OSの内部の作りが変わり、過去に書かれた製作記事(例えば Raspbian Wheezyの時代の記事)がそのままではエラーが出たりして動かない事が有ります。
 ※ 当方のホームページのラズパイ記事は全て Raspberry Pi 3 Model Bと Raspbian Jessieの組み合わせで動作確認をしております。
(ただし、将来的に新しい Raspbian OSが出た場合に、当方の Raspbian Jessieを基にした内容がそのままでは動かない可能性が有ります。)
 ※ 2017/08/16から Raspbian OSは Raspbian Jessieから Raspbian Stretchに変わりました。
 ※ 2019/06/20から Raspbian OSは Raspbian Stretchから Raspbian Busterに変わりました。

Download Raspbian for Raspberry Pi

ちなみに、歴代のバージョンと名称は
Debianコードネーム年月備考(参考)Ubuntuでの該当名称
Debian 11Bullseye2021/08/14~2021/11からラズパイにリリースFocal Fossa 20.04 LTS ?
Debian 10Buster2019/06/20~2019/06からラズパイ4対応Bionic 18.04 LTS
Debian 9Stretch2017/08/16~2018/03からラズパイ3B+対応Xenial 16.04 LTS
Debian 8Jessie2015~2016/02からラズパイ3対応Trusty 14.04 LTS
Debian 7Wheezy2013~2016
Debian 6.0Squeeze2011~2014
Debian GNU/Linux 5.0Lenny2009~2012


● Raspberry Pi3を無線LANアクセスポイントとして設定する方法 hostapd + dnsmasq編

 Raspberry Pi3の WiFi無線 LANを無線LANアクセスポイントとして設定して、ラズパイに WiFi機器を接続して有線 LANを使用できる様にします。

 前回はルーター側の DHCP機能を使い Raspberry Pi3側は単なる有線と無線のブリッジとしてのセットアップでした。

2016/04/20
Raspberry Pi 3 Model Bの WiFiを無線LANアクセスポイント化 WiFiルータ化する hostapd + bridge-utils編
Raspberry Pi 3 Model Bの WiFiを無線LANアクセスポイント化 WiFiルータ化する hostapd + bridge-utils編

  ラズパイ3に内蔵の WiFiを無線LANアクセスポイントにして通信環境を設定する方法

 今回は dnsmasqを使用して有線側と無線側を切り離し、無線LANアクセスポイント側に DHCP機能を持たせます。また dnsmasqは DNS機能も持っているので広告ブロックとしても機能するようにします。
 ラズパイ3をアドブロックルータとして利用できます。

 下記の設定方法は最新の Raspberry Pi3の RASPBIAN JESSIE OSに対応しています。(動作確認済み 2016/08)
RASPBIAN JESSIE download
 Full desktop image based on Debian Jessie
 Version:May 2016
 Release date:2016-05-27
 Kernel version:4.4

 スループットは、
 ・ラズパイ無しのブロードバンドルーターと有線で直結: 60.0Mbps
 ・ラズパイ経由 hw_mode=g 2.4GHz: 14.8Mbps
 ・ラズパイ経由 hw_mode=b 2.4GHz: 14.8Mbps
 ※ hw_mode=a、hw_mode=adを指定すると hostapdが動きませんでした。

 ラズパイ3の無線チップは Broadcom BCM43438 IEEE 802.11 b/g/nだが nは非対応。
 ・IEEE 802.11b (最大11Mbps)
 ・IEEE 802.11g (最大54Mbps)
 ・IEEE 802.11n (最大600Mbps)

Raspberry Pi only supports the 2.4 GHz WiFi network.
 WLANは、標準の802.11b、gおよび後方に応じてテストされています。5GHz帯は使用されません。
 WLAN wurde nach den Standards 802.11b, g und n getestet. Das 5-GHz-Band wird leider nicht genutzt, sondern nur das überfüllte 2,4-GHz-Band.

・Raspberry Pi3を無線LANアクセスポイントとして設定する方法
Raspberry Pi3を無線LANアクセスポイントとして設定する方法



IPアドレス備考
市販のブロードバンドルーター192.168.1.1DHCPサーバ機能有り
(割り当て 192.168.1.30 ~)
ラズパイの有線 LAN側市販のブロードバンドルーターから DHCPで割り当て
ラズパイの無線 LAN側192.168.123.234(固定 IP設定)DHCPサーバ機能有り
(割り当て範囲 192.168.123.100 ~ 192.168.123.120)
広告ブロック機能
セキュリティ DNS設定による保護機能
 ※ 無線 LAN側の IPアドレスをその他の IPアドレス郡と区別が付く様に 192.168.123.234と言う変わった設定にしています。

● 無線 LAN側の IPアドレス等の設定(その1 /etc/dhcpcd.confで設定する方法)

 /etc/dhcpcd.confで IPアドレスを設定する方法

 /etc/network/interfacesの設定ファイルの wlan0の設定部分を書き換え
$ sudo nano /etc/network/interfaces

 下記の
allow-hotplug wlan0
iface wlan0 inet manual
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
 を
allow-hotplug wlan0
iface wlan0 inet manual
#    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
 に書き換える。

 面倒な場合はコマンドラインでサクッと設定ファイルを書き換える
sudo sed -i -e "16s/^    wpa-conf \/etc\/wpa_supplicant\/wpa_supplicant.conf/#    wpa-conf \/etc\/wpa_supplicant\/wpa_supplicant.conf/" /etc/network/interfaces

 catコマンドで /etc/network/interfacesの中身を確認
$ cat /etc/network/interfaces

 /etc/dhcpcd.confの設定ファイルの最下部に wlan0の固定 IPアドレス設定を追加
$ sudo nano /etc/dhcpcd.conf

interface wlan0
static ip_address=192.168.123.234/24

 面倒な場合はコマンドラインでサクッと設定ファイルに追加する
sudo bash -c "echo interface wlan0 >> /etc/dhcpcd.conf"
sudo bash -c "echo static ip_address=192.168.123.234/24 >> /etc/dhcpcd.conf"

 catコマンドで /etc/dhcpcd.confの中身を確認
$ cat /etc/dhcpcd.conf

 dhcpcdを再起動する
$ sudo service dhcpcd restart


● 無線 LAN側の IPアドレス等の設定(その2 /etc/network/interfacesで設定する方法)

 /etc/network/interfacesで IPアドレスを設定する方法

 /etc/network/interfacesの設定ファイルの wlan0の設定部分を書き換え
$ sudo nano /etc/network/interfaces

 下記の
allow-hotplug wlan0
iface wlan0 inet manual
    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
 を
allow-hotplug wlan0
iface wlan0 inet static
#    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
    address 192.168.123.234
    netmask 255.255.255.0
    network 192.168.123.0
    broadcast 192.168.123.255
 に書き換える。

 /etc/dhcpcd.confの設定ファイルの最下部に wlan0の無効設定を追加
$ sudo nano /etc/dhcpcd.conf
denyinterfaces wlan0

 サービスを再起動して即時に反映させる
$ sudo service dhcpcd restart
$ sudo ifdown wlan0; sudo ifup wlan0

 wlan0の IPアドレス設定を確認
$ ip addr | grep "wlan0" | grep "inet"
  inet 192.168.123.234/24 brd 192.168.123.255 scope global wlan0


 上記、その2の場合の設定の一括コマンドラインコピペ用
sudo sed -i -e "s/^iface wlan0 inet manual/iface wlan0 inet static/" /etc/network/interfaces
sudo sed -i -e "16s/^    wpa-conf/#    wpa-conf/" /etc/network/interfaces
sudo sed -i -e "17s/^$/    address 192.168.123.234\n    netmask 255.255.255.0\n    network 192.168.123.0\n    broadcast 192.168.123.255\n/" /etc/network/interfaces

sudo bash -c "echo denyinterfaces wlan0 >> /etc/dhcpcd.conf"

sudo service dhcpcd restart
sudo ifdown wlan0; sudo ifup wlan0

ip addr | grep "wlan0" | grep "inet"


● hostapdの設定(アクセスポイントのアプリ)
 hostapdをインストール
$ sudo apt-get -y install hostapd

 hostapdのデフォルトの設定ファイル /etc/hostapd/hostapd.confをセットアップする
$ sudo bash -c "zcat /usr/share/doc/hostapd/examples/hostapd.conf.gz > /etc/hostapd/hostapd.conf"

 /etc/hostapd/hostapd.confの設定ファイルを書き換え
$ sudo nano /etc/hostapd/hostapd.conf

変更前変更後備考書き換え必須か
interface=wlan0interface=wlan0そのまま--
# driver=hostapdriver=nl80211必須
ssid=testssid=WIFISSID任意の SSIDに書き換える必須
hw_mode=ghw_mode=gそのままお好みで変更する
g=2.4GHz
channel=1channel=1そのままお好みで変更する
#wpa=1wpa=21=WPA、2=WPA2、3=WPA+WPA2
ここでは WPA2だけを有効にする
必須(WPAは危険なので WPA2のみを使用する)
#wpa_passphrase=secret passphrasewpa_passphrase=PASSWORD任意のパスワードに書き換える必須
#wpa_key_mgmt=WPA-PSK WPA-EAPwpa_key_mgmt=WPA-PSK必要に応じて書き換える任意
#rsn_pairwise=CCMPrsn_pairwise=CCMP必要に応じて書き換える任意だが、CCMPのままが良い(AESと同義)
 ※ 暗号化方式として WEPや WPA-TKIPは脆弱性が有るので使用しない方が良い。WPA2-AESを使うのが現時点では一番良い。
7分でほぼ全無線LAN機器を攻撃可能! - 森井教授がWPA-TKIPの脆弱性を解説
今さら聞けない「無線LANセキュリティの基本」

 例によって面倒な場合はコマンドラインでサクッと設定を追加する
 一旦ローカルにファイルをコピーして文字列置換して設定ファイルを書き戻す
sudo bash -c "zcat /usr/share/doc/hostapd/examples/hostapd.conf.gz > /etc/hostapd/hostapd.conf"
cp /etc/hostapd/hostapd.conf ~/hostapd.conf
sed -i -e "s/# driver=hostap/driver=nl80211/g" ~/hostapd.conf
sed -i -e "s/ssid=test/ssid=WIFISSID/g" ~/hostapd.conf
sed -i -e "s/#wpa=1/wpa=2/g" ~/hostapd.conf
sed -i -e "s/#wpa_passphrase=secret passphrase/wpa_passphrase=PASSWORD/g" ~/hostapd.conf
cat ~/hostapd.conf
sudo mv /etc/hostapd/hostapd.conf /etc/hostapd/hostapd.conf.bak
sudo cp ~/hostapd.conf /etc/hostapd/hostapd.conf

 設定が書き換わっている事を確認する
 (grepコマンドで指定ファイルのコメント行と空行以外を出力する=有効な設定の行だけが出力される)
$ cat /etc/hostapd/hostapd.conf | grep -v "^#" | grep -v "^$"

 暫定的に hostapdを動かしてみる(他の WiFi機器で上記設定のアクセスポイントに接続できるか確認する)
$ sudo hostapd /etc/hostapd/hostapd.conf
 [Ctrl+C]で停止する。


 ラズパイを起動した時に自動で hostapdが動く様に設定する
$ sudo nano /etc/default/hostapd

変更前変更後備考
#DAEMON_CONF=""DAEMON_CONF="/etc/hostapd/hostapd.conf"hostapd.confのパスを設定する
 ※ #を付けてコメント化すれば自動起動しなくなる。  例によって面倒な場合はコマンドラインでサクッと設定を追加する  一旦ローカルにファイルをコピーして文字列置換して設定ファイルを書き戻す cp /etc/default/hostapd ~/hostapd sed -i -e "s/#DAEMON_CONF=\"\"/DAEMON_CONF=\"\/etc\/hostapd\/hostapd.conf\"/g" ~/hostapd cat ~/hostapd sudo mv /etc/default/hostapd /etc/default/hostapd.bak sudo cp ~/hostapd /etc/default/hostapd ● dnsmasqの設定(DHCPと DNSのアプリ)  dnsmasqをインストール $ sudo apt-get -y install dnsmasq  既存の /etc/dnsmasq.confの設定ファイルのファイル名を変更する  既存の設定ファイルは不要なのでリネームする。 $ sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.org  /etc/dnsmasq.confの設定ファイルを新規で作成する $ sudo nano /etc/dnsmasq.conf # Disables /etc/resolv.conf no-resolv no-poll # Never forward plain names (without a dot or domain part) domain-needed # Never forward addresses in the non-routed address spaces. bogus-priv # Interface interface=wlan0 # DHCP range dhcp-range=192.168.123.100,192.168.123.120,12h # DNS addresses server=8.8.8.8 server=8.8.4.4 # adblock(広告ブロックの設定、広告ブロックが不要な場合は不要) conf-file=/etc/adblock.conf # 例によって面倒な場合はコマンドラインでサクッと設定する sudo bash -c "echo \# dnsmasq.conf > /etc/dnsmasq.conf" sudo bash -c "echo \# Disables /etc/resolv.conf >> /etc/dnsmasq.conf" sudo bash -c "echo no-resolv >> /etc/dnsmasq.conf" sudo bash -c "echo no-poll >> /etc/dnsmasq.conf" sudo bash -c "echo domain-needed >> /etc/dnsmasq.conf" sudo bash -c "echo bogus-priv >> /etc/dnsmasq.conf" sudo bash -c "echo \# Interface >> /etc/dnsmasq.conf" sudo bash -c "echo interface=wlan0 >> /etc/dnsmasq.conf" sudo bash -c "echo \# DHCP range >> /etc/dnsmasq.conf" sudo bash -c "echo dhcp-range=192.168.123.100,192.168.123.120,12h >> /etc/dnsmasq.conf" sudo bash -c "echo \# DNS addresses >> /etc/dnsmasq.conf" sudo bash -c "echo server=8.8.8.8 >> /etc/dnsmasq.conf" sudo bash -c "echo server=8.8.4.4 >> /etc/dnsmasq.conf" # 下記は広告ブロックの設定(アドブロックルータ) # (広告ブロックが不要な場合はこの手順をスキップ) sudo bash -c "echo \# adblock >> /etc/dnsmasq.conf" sudo bash -c "echo conf-file=/etc/dnsmasq.adblock.conf >> /etc/dnsmasq.conf" # 広告ブロックの設定ファイルをダウンロードする # ブロック対象とする広告で使用されるサーバ名のリストとなっています。 # (広告ブロックが不要な場合はこの手順をスキップ) curl "http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext" | sed "s/127\.0\.0\.1/0.0.0.0/" > ~/dnsmasq.adblock.conf # 広告ブロックの設定ファイルを /etc/dnsmasq.adblock.confにコピーする # (広告ブロックが不要な場合はこの手順をスキップ) sudo cp ~/dnsmasq.adblock.conf /etc/dnsmasq.adblock.conf # /etc/sysctl.confを編集して ip_forwardを有効にする $ sudo nano /etc/sysctl.conf #net.ipv4.ip_forward=1  の先頭の #を取り設定を有効にする net.ipv4.ip_forward=1 # 面倒な場合はコマンドラインでサクッと設定ファイルを変更する sudo sed -i -e "s/^#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/" /etc/sysctl.conf # 設定が書き換わっている事を確認する cat /etc/sysctl.conf | grep ip_forward # ip_forwardの設定を即時反映する sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward" # iptablesコマンドで eth0と wlan0間で通信できる様に設定する sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT # 上記の iptablesの設定内容をファイルに保存する sudo sh -c "iptables-save > /etc/iptables.ipv4.nat" # /etc/rc.localファイルを編集して上記の iptablesの設定を起動時に有効にする sudo nano /etc/rc.local  で /etc/rc.localファイルを開いて、 iptables-restore < /etc/iptables.ipv4.nat  を exit 0  の行の上に追加する # 面倒な場合はコマンドラインでサクッと設定ファイルを変更する sudo sed -i -e "s/^exit 0/\niptables-restore < \/etc\/iptables.ipv4.nat\n\nexit 0/" /etc/rc.local # サービスを再起動して sudo service hostapd start sudo service dnsmasq start # 再起動する sudo reboot

 これで、ラズパイを WiFiアクセスポイント(広告ブロック機能付き)として使用できる様になります。

 広告ブロック機能は広告サーバのホスト名を解決する時に 0.0.0.0の無効な IPアドレスを返す事で実現しています。(いわゆる hostsファイルでのアドブロックと同じ動作原理)

 dnsmasqの他に DHCPサーバとして isc-dhcp-serverを使用する方法も有りますが、dnsmasqは自前でブロックするホストを設定できるので dnsmasqの方が自由度が高くて良いと思います。

2016/09/02
Raspberry Pi 3に内蔵の WiFiを使った無線LANアクセスポイント化 WiFiルータ化 hostapd + isc-dhcp-server編
Raspberry Pi 3に内蔵の WiFiを使った無線LANアクセスポイント化 WiFiルータ化 hostapd + isc-dhcp-server編

  ラズパイを無線LANアクセスポイントにする方法(詐欺サイト+アダルトサイトブロック機能付き)


●コマンド入力やエディタでの編集作業が面倒な場合の一括実行用のコマンドラインコピペ用

 無線 LANの wlan0の IPアドレス設定は記述内容が少ないその1の方法を使用している。
### この行を実行して、
sudo apt-get -y install hostapd dnsmasq

### 以下は最後までコピペで連続で一括実行できる
### /etc/network/interfacesの編集
sudo sed -i -e "16s/^    wpa-conf/#    wpa-conf/" /etc/network/interfaces
cat /etc/network/interfaces

### /etc/dhcpcd.confの編集
sudo bash -c "echo interface wlan0 >> /etc/dhcpcd.conf"
sudo bash -c "echo static ip_address=192.168.123.234/24 >> /etc/dhcpcd.conf"
cat /etc/dhcpcd.conf

sudo service dhcpcd restart

### /etc/hostapd/hostapd.confの設定
### WiFiアクセスポイントは WIFISSID PASSWORD WPA2-AES
sudo bash -c "zcat /usr/share/doc/hostapd/examples/hostapd.conf.gz > /etc/hostapd/hostapd.conf"
cp /etc/hostapd/hostapd.conf ~/hostapd.conf
sed -i -e "s/# driver=hostap/driver=nl80211/g" ~/hostapd.conf
sed -i -e "s/ssid=test/ssid=WIFISSID/g" ~/hostapd.conf
sed -i -e "s/#wpa=1/wpa=2/g" ~/hostapd.conf
sed -i -e "s/#wpa_passphrase=secret passphrase/wpa_passphrase=PASSWORD/g" ~/hostapd.conf
cat ~/hostapd.conf
sudo mv /etc/hostapd/hostapd.conf /etc/hostapd/hostapd.conf.bak
sudo cp ~/hostapd.conf /etc/hostapd/hostapd.conf

cp /etc/default/hostapd ~/hostapd
sed -i -e "s/#DAEMON_CONF=\"\"/DAEMON_CONF=\"\/etc\/hostapd\/hostapd.conf\"/g" ~/hostapd
cat ~/hostapd
sudo mv /etc/default/hostapd /etc/default/hostapd.bak
sudo cp ~/hostapd /etc/default/hostapd

### /etc/dnsmasq.confの設定
sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.org

sudo bash -c "echo \# dnsmasq.conf > /etc/dnsmasq.conf"
sudo bash -c "echo \# Disables /etc/resolv.conf >> /etc/dnsmasq.conf"
sudo bash -c "echo no-resolv >> /etc/dnsmasq.conf"
sudo bash -c "echo no-poll >> /etc/dnsmasq.conf"
sudo bash -c "echo domain-needed >> /etc/dnsmasq.conf"
sudo bash -c "echo bogus-priv >> /etc/dnsmasq.conf"
sudo bash -c "echo \# Interface >> /etc/dnsmasq.conf"
sudo bash -c "echo interface=wlan0 >> /etc/dnsmasq.conf"
sudo bash -c "echo \# DHCP range >> /etc/dnsmasq.conf"
sudo bash -c "echo dhcp-range=192.168.123.100,192.168.123.120,12h >> /etc/dnsmasq.conf"
# DNSとして安全の為に Norton ConnectSafeの DNSを設定している
sudo bash -c "echo \# DNS addresses >> /etc/dnsmasq.conf"
sudo bash -c "echo server=199.85.126.10 >> /etc/dnsmasq.conf"
sudo bash -c "echo server=199.85.127.10 >> /etc/dnsmasq.conf"

2018/10 追記
Norton ConnectSafe の廃止のお知らせ
 2018 年 11 月 15 日をもって、Norton ConnectSafe サービスは廃止
 ConnectSafe は、シマンテックの事業分野と事業投資の変更により、廃止されることになりました。

# 下記は広告ブロックの設定(広告ブロックが不要な場合はこの手順をスキップ)
# 下記は広告ブロックの設定(広告ブロックが不要な場合はこの手順をスキップ)
sudo bash -c "echo \# adblock >> /etc/dnsmasq.conf"
sudo bash -c "echo conf-file=/etc/dnsmasq.adblock.conf >> /etc/dnsmasq.conf"

# 下記は広告ブロックの設定(広告ブロックが不要な場合はこの手順をスキップ)
curl "http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext" | sed "s/127\.0\.0\.1/0.0.0.0/" > ~/dnsmasq.adblock.conf

# 下記は広告ブロックの設定(広告ブロックが不要な場合はこの手順をスキップ)
sudo cp ~/dnsmasq.adblock.conf /etc/dnsmasq.adblock.conf
### ここから共通
cat /etc/dnsmasq.conf

### /etc/sysctl.confの設定
sudo sed -i -e "s/^#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/" /etc/sysctl.conf
cat /etc/sysctl.conf | grep ip_forward

sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

### iptablesの設定
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

sudo sh -c "iptables-save > /etc/iptables.ipv4.nat"

sudo sed -i -e "s/^exit 0/\niptables-restore < \/etc\/iptables.ipv4.nat\n\nexit 0/" /etc/rc.local

### Disable IPv6
sudo bash -c "echo \# Disable IPv6 >> /etc/sysctl.conf"
sudo bash -c "echo net.ipv6.conf.all.disable_ipv6 = 1 >> /etc/sysctl.conf"

### Raspberry Piを再起動
sudo reboot

### これで Raspberry Piが WiFiアクセスポイントになります。


● hostapdで MACアドレスフィルタリング

 hostapdに接続できる機器を MACアドレスで制限できます。

/etc/hostapd/acceptファイルを新規作成して接続を許可する WIFI機器の MACアドレスを列挙する。(1行に 1個)

例)
 /etc/hostapd.acceptの設定ファイルを新規に作成
sudo nano /etc/hostapd.accept

00:11:22:33:44:01
00:11:22:33:44:02
00:11:22:33:44:03

 /etc/hostapd/hostapd.confの設定ファイルに下記の 2行を書き換える
$ sudo nano /etc/hostapd/hostapd.conf

macaddr_acl=0
#accept_mac_file=/etc/hostapd.accept
 を
macaddr_acl=1
accept_mac_file=/etc/hostapd.accept
 に書き換える

 変更内容を確認する
$ cat /etc/hostapd/hostapd.conf | grep -v "^#" | grep mac
macaddr_acl=1
accept_mac_file=/etc/hostapd.accept

 例によって面倒な場合は(ry
sudo sed -i -e "s/macaddr_acl=0/macaddr_acl=1/" /etc/hostapd/hostapd.conf
sudo sed -i -e "s/#accept_mac_file/accept_mac_file/" /etc/hostapd/hostapd.conf
# 変更内容を確認する
cat /etc/hostapd/hostapd.conf | grep -v "^#" | grep mac



● DNSサーバの設定でちょっとイイ話

 上記の DNSサーバの設定では Googleが提供する DNSサーバを使用していますが、それ以外にも特徴的な公開 DNSサーバが有ります。

 下記の中では Norton DNSの (3)の DNS 199.85.126.30 199.85.127.30が良いかな。
 (各自の好みで選択して使用するのが良いです)

Public DNS Server List

● Google Public DNS
Google Public DNS
 言わずと知れた Googleの DNS。8.8.8.8と覚えやすい。
 8.8.8.8、8.8.4.4

● Verisign Public DNS
Verisign Public DNS
 Googleが嫌いな人は プライバシーを尊重するベリサインの DNS。
 64.6.64.6、64.6.65.6

● Norton DNS(Norton ConnectSafe)
Norton ConnectSafe
 Norton DNS(Norton ConnectSafe)
 1) マルウェアを有するサイト、フィッシングサイト、詐欺サイトをすべて遮断
 199.85.126.10、199.85.127.10
 2) (1)+性的表現が露骨なサイトへのアクセスも遮断
 199.85.126.20、199.85.127.20
 3) (1)+(2)+中絶、アルコール、犯罪、カルト、麻薬、ギャンブル、中傷、性的指向、自殺、タバコ、暴力についてのサイトへのアクセスを遮断
 199.85.126.30、199.85.127.30

 アクセスブロック時は http://54.200.80.90/にリダイレクトされる。


● OpenDNS Ciscoが運営する DNSサーバ
OpenDNS
OpenDNSは、フリーなDNS
 Ciscoが運営する DNSサーバ(Ciscoが OpenDNSを買収した)
シスコ、OpenDNS買収の意向を発表
 208.67.222.222、208.67.220.220
 208.67.222.220、208.67.220.222

 ポルノや危険なサイトへの閲覧をブロックしている DNS(家庭向け)
 208.67.222.123、208.67.220.123

● Comodo Secure DNS
Comodo Secure DNS
 
 マルウェアに感染したドメインへの接続をブロック
 8.26.56.26、8.20.247.20

● Yandex.DNS
Yandex.DNS Secure home internet

Basic Quick and reliable DNS
77.88.8.8、77.88.8.1

Safe Protection from virus and fraudulent content(ウイルスや不正な内容の詐欺サイトをブロック)
77.88.8.88、77.88.8.2

Family Without adult content(アダルトなサイトをブロック)
77.88.8.7、77.88.8.3


●以下は中華系の公開 DNSサーバ

 114DNSと 百度DNSは DNS汚染無し(twitter.comを正常に IP引きする)
 阿里DNSは DNS汚染有り(twitter.comを正常に IP引きしない)

● 南京信风 114DNS(DNS汚染無し)
中国电信 114DNS

纯净 无劫持 无需再忍受被强扭去看广告或粗俗网站之痛苦(しつこい広告や下品なウェブサイトからの苦痛を取り除く=ブロックする)
服务地址为:114.114.114.114、114.114.115.115

拦截 钓鱼病毒木马网站 增强网银、证券、购物、游戏、隐私信息安全(フィッシングサイト等をブロック、プライバシーを守る)
服务地址为:114.114.114.119、114.114.115.119

学校或家长可选拦截 色情网站 保护少年儿童免受网络色情内容的毒害(ポルノや害悪の有るサイトから青少年を守る、学校や家庭向け)
服务地址为:114.114.114.110、114.114.115.110

114DNS DNS安全警示
114DNS 全国DNS汇总

※ その他の DNS紹介ブログ等で 114DNSが 百度DNSと書いてありますが間違いです。114DNSは南京信风网络科技有限公司の運営です。

● 百度公共DNS Baidu DNS(DNS汚染無し)
百度公共DNS
 百度公共DNS
 180.76.76.76

● 阿里DNS AliDNS(DNS汚染有り)
阿里DNS
 223.5.5.5、223.6.6.6


● 中華系 DNS汚染の検証

特定の条件下で発生する通信エラーに関する考察 ~中国編~ JANOG
DNS Cache Poisoning in the People's Republic of China
挙動不審なDNSルートサーバ

$ dig
-bash: dig: command not found
$ sudo apt-get update
$ sudo apt-get install dnsutils

● Google DNS(当然、DNS汚染無し)
$ dig twitter.com @8.8.8.8 +short
104.244.42.1
104.244.42.129

● 114DNS(DNS汚染無し)
$ dig twitter.com @114.114.114.114 +short
199.16.156.70
199.16.156.230
199.16.156.198
199.16.156.102

● Baidu DNS(DNS汚染無し)
$ dig twitter.com @180.76.76.76 +short
104.244.42.65
104.244.42.193

● AliDNS(DNS汚染している。上記の JANOGの通信エラーに関する考察「クエリの応答内容」と合致する)
$ dig twitter.com @223.5.5.5 +short
8.7.198.45
 $ dig twitter.com @223.5.5.5 +short
46.82.174.68


● 番外編、中国国内で海外のサービスを使用したい場合の DNS設定

使用国外 DNS 造成国内网站访问慢的解决方法

 中国国内ではなくグーグルの DNSサーバを参照する様に設定すると言う事。

/etc/dnsmasq.conf

no-resolv
no-poll
server=8.8.8.8
server=8.8.4.4
server=/cn/114.114.114.114
server=/taobao.com/114.114.114.114
server=/taobaocdn.com/114.114.114.114
server=/tbcache.com/114.114.114.114
server=/tdimg.com/114.114.114.114

 digコマンドで DNSのホスト名引きを検証(上記のブログの追試)

$ dig twitter.com @8.8.8.8 +short
-bash: dig: command not found
※ Raspberry Piの Raspbianの初期状態では nslookupや digコマンドが使えない。

$ sudo apt-get -y install dnsutils

$ dig twitter.com @8.8.8.8 +short
104.244.42.65
104.244.42.193
※ 8.8.8.8はグーグルの DNSサーバ、普通に twitter.comの IPアドレスを引いている。

$ dig twitter.com @221.228.255.1 +short
93.46.8.89
※ 221.228.255.1は 中国の江苏电信の DNSサーバ、93.46.8.89の下記のブラックリスト収集サーバに転送されている。

 $ dig twitter.com @114.114.114.114 +short
199.16.156.70
199.16.156.102
199.16.156.230
199.16.156.198

$ dig twitter.com @180.76.76.76 +short
104.244.42.1
104.244.42.193


 93.46.8.89でググルと下記が出てくる
域名服务器缓存污染 DNSポイズニング

 中国防火長城、根据互联网上长期收集到的污染目标的虚假IP地址列表,防火长城会将黑名单内的域名重新導向至不限于以下列表的IP地址。

 中国国内の DNSサーバでは YouTubeや Twitter、Facebook等の中国国内で一般的に利用できないサービスにアクセスした場合にブラックリスト収集サーバの IPアドレスに転送される様になっている。(そこでアクセス履歴を全部収集するらしい)

 中国国内では IPアドレスの割り当てが郵便番号の様に地域毎に全部政府によって管理されて決められています。(IPアドレスから一意にアクセス元の地域を特定できる。)

・中国のブラックリスト収集サーバ
・IPv4
4.36.66.178
8.7.198.45
23.89.5.60
37.61.54.158
46.82.174.68
49.2.123.56
54.76.135.1
59.24.3.173
64.33.88.161
64.33.99.47
64.66.163.251
65.104.202.252
65.160.219.113
66.45.252.237
72.14.205.99
72.14.205.104
77.4.7.92
78.16.49.15
93.46.8.89
118.5.49.6
128.121.126.139
159.106.121.75
169.132.13.103
185.85.13.155
188.5.4.96
189.163.17.5
192.67.198.6
197.4.4.12
202.106.1.2
202.181.7.85
203.98.7.65
203.161.230.171
207.12.88.98
208.56.31.43
209.36.73.33
209.145.54.50
209.220.30.174
211.94.66.147
213.169.251.35
216.221.188.182
216.234.179.13
243.185.187.39
249.129.46.48
253.157.14.165

・Google+ 的域名 plus.google.com
74.125.31.113
74.125.39.102
74.125.39.113
74.125.127.102
74.125.130.47
74.125.155.102
209.85.229.138
210.242.125.20

・YouTube 影片服务器的域名 r*.googlevideo.com
0.0.0.0(※ 0.0.0.0は無効なサーバアドレス)
2.1.1.2
4.193.80.0
8.105.84.0
12.87.133.0
16.63.155.0
20.139.56.0
24.51.184.0
28.121.126.139
28.13.216.0
46.20.126.252
46.38.24.209
61.54.28.6
66.206.11.194
74.117.57.138
89.31.55.106
113.11.194.190
118.5.49.6
122.218.101.190
123.50.49.171
123.126.249.238
125.230.148.48
127.0.0.2
173.201.216.6
203.199.57.81
208.109.138.55
211.5.133.18
211.8.69.27
213.186.33.5
216.139.213.144
221.8.69.27
243.185.187.3
243.185.187.30



Tags: [Raspberry Pi], [電子工作], [セキュリティ]

●関連するコンテンツ(この記事を読んだ人は、次の記事も読んでいます)

FWinSdCardImager SDカード イメージ書き込みアプリ、ラズパイの Raspbian OS、Jetson Nanoの Ubuntuの書き込みに便利
FWinSdCardImager SDカード イメージ書き込みアプリ、ラズパイの Raspbian OS、Jetson Nanoの Ubuntuの書き込みに便利

  ラズパイや Jetson Nano等のワンボードマイコン等への OSイメージの書き込みが簡単にできる

FWinPiFinder ラズベリーパイ IPアドレス発見アプリ。ARPコマンドでラズパイの IPアドレスを探索発見する
FWinPiFinder ラズベリーパイ IPアドレス発見アプリ。ARPコマンドでラズパイの IPアドレスを探索発見する

  Raspberry Piや NVIDIA Jetson Nano等の IPアドレスを MACアドレスの OUI部分を使用して発見する

Raspberry Pi 3系のトラブルであるある第一位の電源トラブル、低電圧警報に関する情報のまとめ
Raspberry Pi 3系のトラブルであるある第一位の電源トラブル、低電圧警報に関する情報のまとめ

  ラズパイ3B系での低電圧警報に関する情報まとめ、コマンドラインやログファイルから低電圧を検知する方法

Raspberry Piで CPUの脆弱性 Spectreと Meltdownの脆弱性をチェックする方法
Raspberry Piで CPUの脆弱性 Spectreと Meltdownの脆弱性をチェックする方法

  ラズパイで 2018年初頭に大騒ぎになったスペクターとメルトダウンの CPUの脆弱性をチェックする方法

Raspberry Pi Zero Wを海外通販の Pimoroni等での購入方法、購入できる通販ショップ一覧まとめ
Raspberry Pi Zero Wを海外通販の Pimoroni等での購入方法、購入できる通販ショップ一覧まとめ

  ラズパイゼロW ワイヤレスモデルを海外通販でサクッと簡単に個人輸入で入手。技適通過でも国内販売は常に品切れ

Raspberry Pi 3で安定して使える相性の無い最適な microSDカードの種類のまとめ
Raspberry Pi 3で安定して使える相性の無い最適な microSDカードの種類のまとめ

  ラズパイ3で安定して使える microSDカードを購入する Teamと SanDiskは絶対に買わない

Raspberry Pi 3 Model Bに専用カメラモジュール RaspiCamを接続する方法
Raspberry Pi 3 Model Bに専用カメラモジュール RaspiCamを接続する方法

  ラズパイに専用カメラモジュールを接続して Raspbianで写真の静止画撮影や動画を録画する方法

Raspberry Pi 3の Linuxコンソール上で使用する各種コマンドまとめ
Raspberry Pi 3の Linuxコンソール上で使用する各種コマンドまとめ

  ラズパイの Raspbian OSのコマンドラインで使用する便利コマンド、負荷試験や CPUシリアル番号の確認方法等も

Raspberry Pi 3公式フォーラムの FAQの内容の日本語訳
Raspberry Pi 3公式フォーラムの FAQの内容の日本語訳

  ラズパイ公式フォーラムの「The Raspberry Pi 3 Model B Q&A thread」の日本語訳

Raspberry Pi 3で GPIO端子の I2C機能を有効化する方法
Raspberry Pi 3で GPIO端子の I2C機能を有効化する方法

  ラズパイ3の GPIO端子の I2C機能を有効にして各種センサーを繋げる方法まとめ

大人気の CPUボード、Raspberry Pi 3 Model Bで作ってみよう
大人気の CPUボード、Raspberry Pi 3 Model Bで作ってみよう

  Raspberry Piの開発環境の構築やタッチパネル付き液晶ディスプレイや各種センサーの使い方まとめ


Raspberry Pi 3、シングルボードコンピュータ ラズパイ3 Raspberry Pi関連はこちらへまとめました
 下記以外にも多数のラズパイ関係の記事が有ります。
 (I2C制御、GPIO制御、1-Wire制御、シリアル通信、日本語音声合成、日本語音声認識、中国語音声合成、MeCab 形態素解析エンジン、赤外線リモコン制御、秋月 I2C液晶モジュール、KeDei 3.5インチ液晶、HDMI 5インチ液晶、NFCカードリーダ、コマンドライン操作方法等)
Raspberry Pi 3に HDMI接続の 800x480 5インチ TFT液晶を接続して使用する方法
Raspberry Pi Raspbian Jessie 2017-07最終版で LIRCを使って学習リモコン、赤外線リモコンを送受信する方法
Raspberry Pi 3の WiFiを広告ブロック機能付きの無線LANアクセスポイント化 hostapd + dnsmasq編
Raspberry Pi 3の Bluetoothで ブルテザで通信する方法(Bluetooth編)
Raspberry Pi 3で日本語音声を合成して喋らせる方法(OpenJTalk編)
Raspberry Pi 3に USB Micを接続して日本語の音声認識をする方法(Julius編)
Raspberry Pi 3の GPIOに LEDとスイッチを接続して Lチカする方法
Raspberry Pi 3の GPIOに LEDとスイッチを接続してシャットダウンボタンを実装する方法
Raspberry Pi 3で GPIO端子の I2C機能を有効化する方法
Raspberry Pi 3の GPIOに I2C通信方式の気圧計 BMP280を接続する方法
Raspberry Pi 3に I2C通信方式の NFCリーダライタ PN532を接続して NFC FeliCaカードを読む方法
Raspberry Pi 3でネットワーク ライブカメラを構築する方法 Motion編
Raspberry Pi 3でネットワーク ライブカメラを構築する方法 MJPG-streamer編
Raspberry Pi 3 Model Bで動画処理アプリ FFmpegをコンパイルする方法
Raspberry Pi3の X-Window Systemに Windowsのリモートデスクトップから接続する方法
Raspberry Pi3に WebRTCの STUN/TRUNサーバと PeerJSサーバをインストールする方法
【成功版】Raspberry Piで NNPACK対応版の Darknet Neural Network Frameworkをビルドする方法


Espressif ESP8266 Arduino互換でスケッチが使える ESP-12Eモジュール基板
Espressif ESP8266 Arduino互換でスケッチが使える ESP-12Eモジュール基板

  Espressif ESP8266 ESP-12-E NodeMCU V1 ESP12 CP2102

BangGood通販はドローン以外にも面白い商品がまだまだ有った(電子工作編)
BangGood通販はドローン以外にも面白い商品がまだまだ有った(電子工作編)

  レーザー彫刻機、カラー液晶の DIYオシロ、Arduinoや Raspberry Pi用の小型カラー液晶




[HOME] | [BACK]
リンクフリー(連絡不要、ただしトップページ以外は Web構成の変更で移動する場合があります)
Copyright (c) 2016 FREE WING,Y.Sakamoto
Powered by 猫屋敷工房 & HTML Generator

http://www.neko.ne.jp/~freewing/raspberry_pi/raspberry_pi_3_wifi_wireless_access_point_dnsmasq/