<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title></title>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta http-equiv="Content-Style-Type" content="text/css">
<style type="text/css"><!--
body {
  margin: 5px 5px 5px 5px;
  background-color: #ffffff;
}
/* ========== Text Styles ========== */
hr { color: #000000}
body, table /* Normal text */
{
 font-size: 9pt;
 font-family: 'Courier New';
 font-style: normal;
 font-weight: normal;
 color: #000000;
 text-decoration: none;
}
span.rvts1 /* Heading */
{
 font-size: 10pt;
 font-family: 'Arial';
 font-weight: bold;
 color: #0000ff;
}
span.rvts2 /* Subheading */
{
 font-size: 10pt;
 font-family: 'Arial';
 font-weight: bold;
 color: #000080;
}
span.rvts3 /* Keywords */
{
 font-size: 10pt;
 font-family: 'Arial';
 font-style: italic;
 color: #800000;
}
a.rvts4, span.rvts4 /* Jump 1 */
{
 font-size: 10pt;
 font-family: 'Arial';
 color: #008000;
 text-decoration: underline;
}
a.rvts5, span.rvts5 /* Jump 2 */
{
 font-size: 10pt;
 font-family: 'Arial';
 color: #008000;
 text-decoration: underline;
}
span.rvts6
{
 font-size: 11pt;
 font-family: 'tahoma';
 font-weight: bold;
 color: #ffffff;
 background-color: #0000ff;
}
span.rvts7
{
 font-size: 11pt;
 font-family: 'tahoma';
}
a.rvts8, span.rvts8
{
 font-size: 11pt;
 font-family: 'tahoma';
 color: #0000ff;
 text-decoration: underline;
}
span.rvts9
{
 font-size: 8pt;
 font-family: 'arial';
 font-style: italic;
 color: #c0c0c0;
}
a.rvts10, span.rvts10
{
 font-size: 8pt;
 font-family: 'arial';
 color: #0000ff;
 text-decoration: underline;
}
/* ========== Para Styles ========== */
p,ul,ol /* Paragraph Style */
{
 text-align: left;
 text-indent: 0px;
 padding: 0px 0px 0px 0px;
 margin: 0px 0px 0px 0px;
}
.rvps1 /* Centered */
{
 text-align: center;
}
--></style>
</head>
<body>

<p>Yes, I believe that's right.</p>
<p><br></p>
<p>I think the parent intended this:</p>
<p><br></p>
<p>WLAN/LAN &lt;-&gt; WifiDog gateway/router (i.e. WRT-54G) &lt;-&gt; Internal LAN &lt;-&gt; Internet/Router</p>
<p><br></p>
<p>Thus blocking traffic to the Internal LAN subnet would be effective - but the internal LAN and the WiFi Dog router (wan side) could not be in the same subnet. (if they were, the rule would block the internet traffic to/from WiFiDOG and clients)</p>
<p><br></p>
<p>---</p>
<p>But if the flow is as follows, that rule would be ineffective, since the rules only impact the traffic being forwarded between the LAN/WLAN and WAN interfaces of the WD Gateway.</p>
<p><br></p>
<p>WLAN/LAN/Internal Network (POS Boxes) &lt;-&gt; Wifidog gateway/router &lt;-&gt; Internet/router</p>
<p><br></p>
<p>---</p>
<p><br></p>
<p>While the first is a little complicated to setup, and perhaps confusing, it's not that difficult and would generally allow pretty decent separation. However, being the paranoid person I am, I'd much prefer a physically separate network - like such.</p>
<p><br></p>
<p>WLAN/LAN &lt;-&gt; WifiDog gw/router &lt;-&gt; DMZ (e.g. 192.168.1.1) &lt;-&gt; Internet/router</p>
<p>&nbsp; &nbsp; &nbsp; &nbsp;POS/Internal LAN &lt;-&gt; Router/DMZ (e.g. 192.168.2.1) &lt;-&gt; Internet/router</p>
<p>:Where the internet/router is common in both lines above. (i.e. One route to the internet for both networks.)</p>
<p><br></p>
<p>The DMZ router for the internal LAN is separate above and is an additional layer preventing/protecting the Internal network. This way if the WifiDog gw is compromised, the internal LAN still has a decent chance of retaining it's integrity.</p>
<p><br></p>
<p>(All internet traffic is likely compromised, but with reasonable precautions this isn't likely a deal-breaker problem since one would normally consider all internet traffic "untrusted" anyway.)</p>
<p><br></p>
<p>Cheers,</p>
<p>Greg</p>
<p><br></p>
<p><br></p>
<div><table border=0 cellpadding=1 cellspacing=2>
<tr valign=top>
<td width=12 style="background-color: #0000ff;">
<p><span class=rvts6>&gt;</span></p>
</td>
<td width=764 style="background-color: #ffffff;">
<p><span class=rvts7>My understanding is that the WLAN and LAN by default are on the same subnet and that all wireless and wired access by default go through wifidog. Can anybody verify if this is true?</span></p>
<p><br></p>
<p><span class=rvts7>If so, then setting up the firewall rule shown below would not work if the business's computers are plugged into the wireless router without more configuration.&nbsp;</span></p>
<p><br></p>
<p><span class=rvts7>ian</span></p>
<p><br></p>
<p><br></p>
<p><span class=rvts7>On Fri, Jun 26, 2009 at 2:11 PM, Aaron Z &lt;</span><a class=rvts8 href="mailto:aaronz@pls-net.org">aaronz@pls-net.org</a><span class=rvts7>&gt; wrote:</span></p>
<p><br></p>
<p><span class=rvts7>In Wifidog.conf there is &nbsp;a section called "FirewallRuleSet global", if you have the WAN port on your box connected to the rest of your network (so that the wireless users are on a different subnet than your buisness machines) you can change the setting to be as shown, this will prevent your guests from accessing the 192.168.3.x subnet.</span></p>
<p><br></p>
<p><span class=rvts7># Rule Set: global</span></p>
<p><span class=rvts7>#</span></p>
<p><span class=rvts7># Used for rules to be applied to all other rulesets except locked.</span></p>
<p><span class=rvts7>FirewallRuleSet global {</span></p>
<p><span class=rvts7>&nbsp; &nbsp;## Use the following if you don't want clients to be able to access machines on</span></p>
<p><span class=rvts7>&nbsp; &nbsp;## the private LAN that gives internet access to wifidog. &nbsp;Note that this is not</span></p>
<p><span class=rvts7>&nbsp; &nbsp;## client isolation; &nbsp;The laptops will still be able to talk to one another, as</span></p>
<p><span class=rvts7>&nbsp; &nbsp;## well as to any machine bridged to the wifi of the router.</span></p>
<p><span class=rvts7>&nbsp;FirewallRule block to&nbsp;</span><a class=rvts8 href="http://192.168.3.0/24">192.168.3.0/24</a></p>
<p><span class=rvts7>&nbsp;}</span></p>
<p><br></p>
<p><span class=rvts7>HTH</span></p>
<p><br></p>
<p><span class=rvts7>Aaron Z</span></p>
<p><br></p>
<p><span class=rvts7>----- "casey w ballard" &lt;</span><a class=rvts8 href="mailto:casey.w.ballard@gmail.com">casey.w.ballard@gmail.com</a><span class=rvts7>&gt; wrote:</span></p>
<p><span class=rvts7>&gt; From: "casey w ballard" &lt;</span><a class=rvts8 href="mailto:casey.w.ballard@gmail.com">casey.w.ballard@gmail.com</a><span class=rvts7>&gt;</span></p>
<p><span class=rvts7>&gt; To:&nbsp;</span><a class=rvts8 href="mailto:wifidog@listes.ilesansfil.org">wifidog@listes.ilesansfil.org</a></p>
<p><span class=rvts7>&gt; Sent: Friday, June 26, 2009 1:00:15 PM GMT -05:00 US/Canada Eastern</span></p>
<p><span class=rvts7>&gt; Subject: [isf-wifidog] LAN and WLAN Seperation</span></p>
<p><br></p>
<p><span class=rvts7>&gt;</span></p>
<p><span class=rvts7>&gt; Hello, I can't seem to find the information anywhere on the FAQ secitons so I geuss I will ask it here. I am planning to implement this feature at my cafe but I dont want the wireless clients to be able to get access to my dell registers or computerized security system. Is there any way that I may block the wireless clients from being able to see the other wired computers?</span></p>
<p><span class=rvts7>&gt; -Casey</span></p>
<p><span class=rvts7>&gt; _______________________________________________ WiFiDog mailing list&nbsp;</span><a class=rvts8 href="mailto:wifidog@listes.ilesansfil.org">WiFiDog@listes.ilesansfil.org</a><span class=rvts7>&nbsp;</span><a class=rvts8 href="http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog">http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog</a></p>
<p><span class=rvts7>_______________________________________________</span></p>
<p><span class=rvts7>WiFiDog mailing list</span></p>
<p><a class=rvts8 href="mailto:wifidog@listes.ilesansfil.org">WiFiDog@listes.ilesansfil.org</a></p>
<p><a class=rvts8 href="http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog">http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog</a></p>
</td>
</tr>
</table>
</div>
<p><br></p>
<p><br></p>
<p><br></p>
<p><br></p>
<p><span class=rvts9>--&nbsp;</span></p>
<p><span class=rvts9>Best regards,</span></p>
<p><span class=rvts9>&nbsp;listserv &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;</span><a class=rvts10 href="mailto:listserv.traffic@sloop.net">mailto:listserv.traffic@sloop.net</a></p>

</body></html>