Linux
ufw
hostapd
isc-dhcp-server
iw
More than 1 year has passed since last update.

必要な機材

ath5k または ath9k ドライバに対応し、
かつアクセスポイント機能を持った無線 LAN デバイス。

パッケージインストール

apt-get install hostapd iw isc-dhcp-server haveged

ネットワークの構成

/etc/network/interfaces を編集する。

# lo インターフェイスを起動する。
auto lo
# 論理インターフェイス lo を
# IPv4 loopback インターフェイスとして定義する。
iface lo inet loopback

# wlan0 インターフェイスを起動する。
auto wlan0
# 論理インターフェイス wlan0 へ IPv4 固定アドレスを定義する。
iface wlan0 inet static
  address 192.168.0.1
  netmask 255.255.0.0
  gateway 192.168.0.1
  dns-name-servers 8.8.8.8
  wireless-mode master

/etc/NetworkManager/NetworkManager.conf を編集する。

[keyfile]
unmanaged-devices=mac:無線LAN の MAC アドレス

/etc/default/ufw を編集する。

# IPv6 サポートを有効にする。
IPV6=yes

# 外部から入ってくる通信を破棄する。
DEFAULT_INPUT_POLICY="DROP"

# 外部へ出て行く通信の通過を許可する。
DEFAULT_OUTPUT_POLICY="ACCEPT"

# パケット転送を許可する。
DEFAULT_FORWARD_POLICY="ACCEPT"

DEFAULT_APPLICATION_POLICY="SKIP"

# ufw 自身が作成したチェーンのみを操作対象とする。
MANAGE_BUILTINS=no

# iptables のバックエンドとして /etc/ufw/sysctl.conf を使用する。
IPT_SYSCTL=/etc/ufw/sysctl.conf

# 拡張トラッキングモジュールの読込み設定
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

/etc/ufw/sysctl.conf を編集する。

# パケット転送を有効にする。
net/ipv4/ip_forward=1

# 送信元アドレスの検証を全インターフェイスで有効にし、
# なりすまし攻撃を防止する。
net/ipv4/conf/default/rp_filter=1
net/ipv4/conf/all/rp_filter=1

# IP ソースルートパケットを受信しない。
net/ipv4/conf/default/accept_source_route=0
net/ipv4/conf/all/accept_source_route=0
net/ipv6/conf/default/accept_source_route=0
net/ipv6/conf/all/accept_source_route=0

# ICMP リダイレクトを無効化し、
# MITM 攻撃を防止する。
net/ipv4/conf/default/accept_redirects=0
net/ipv4/conf/all/accept_redirects=0
net/ipv6/conf/default/accept_redirects=0
net/ipv6/conf/all/accept_redirects=0

# 偽の ICMP エラーを無視する。
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
net/ipv4/icmp_echo_ignore_all=0

# 有り得ないパケットを記録しない。
net/ipv4/conf/default/log_martians=0
net/ipv4/conf/all/log_martians=0

# TCP / IP SYN クッキーを無効にする。
net/ipv4/tcp_syncookies=0

net/ipv4/tcp_sack=1

/etc/ufw/before.rules を編集する。

# filter テーブルの設定。
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]

# loopback インターフェイスにおける送受信を許可する。
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# 既存のパケットの受信・送信・転送を許可する。
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# 不正なパケットを破棄する。
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

# 受信における icmp コードを受入れる。
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# 転送における icmp コードを受入れる。
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

# dhcp クライアントの動作を許可する。
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

-A ufw-before-input -j ufw-not-local
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# 上記以外の non-local パケットは破棄する。
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

# MULTICAST UPnP のサービス探査を許可する。
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT

COMMIT

# nat テーブルの設定。
*nat

# 送信時のアドレス変換を許可する。
:POSTROUTING ACCEPT [0:0]

# パケット転送先のインターフェイスを eth0 とする。
# アドレスを変換する。
-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT

/etc/dhcp/dhcpd.conf を編集する。

# リース確認の際に DNS の更新を試行しない。
ddns-update-style none;

# ネットワーク全体の共通設定。
option domain-name "example.org";
option domain-name-servers 192.168.1.1;

default-lease-time 600;
max-lease-time 7200;

# dhcp ログメッセージを異なるログファイルへ送信する。
log-facility local7;

# サブネットの設定。
subnet 192.168.0.0 netmask 255.255.0.0{
  # 192.168.0.10 から 192.168.0.20 の間で IP アドレスを発行する。
  range 192.168.0.10 192.168.0.20;
  option domain-name-servers 8.8.8.8;
  option routers 192.168.0.1;
  default-lease-time 600;
  max-lease-time 7200;
}

/etc/default/isc-dhcp-server を編集する。

# isc-dhcp-server の設定ファイルとして
# /etc/dhcp/dhcpd.conf を使用する。
DHCPD_CONF=/etc/dhcp/dhcpd.conf

# /var/run/dhcpd.pid を
# isc-dhcp-server の PID ファイルとして使用する。
DHCPD_PID=/var/run/dhcpd.pid

# wlan0 インターフェイスを dhcp サーバとして使用し、
# dhcp リクエストを待ち受ける。
INTERFACES="wlan0"

hostapd の設定

/etc/default/hostapd を編集する。

# /etc/hostapd/hostapd.conf を hostapd の設定ファイルとして使用する。
# hostapd はシステム起動時に起動する。
DAEMON_CONF="/etc/hostapd/hostapd.conf"

# -dd オプションを適用して hostapd を起動する。
# /var/log/syslog へ詳細なログメッセージを出力する。
DAEMON_OPTS="-dd"

/etc/hostapd/hostapd.conf を編集する。
雛形は /usr/share/doc/hostapd/examples/hostapd.conf.gz に収められている。

# wlan0 インターフェイスをアクセスポイントとして使用する。
interface=wlan0

# nl80211 ドライバを使用する。
driver=nl80211

# syslog へ全モジュールのログを記録する。
logger_syslog=-1
# 記録するレベルは informational message までとする。
logger_syslog_level=2

# バックグラウンド動作していない場合に限り、
# 全モジュールのログを stdout へ出力する。
logger_stdout=-1
# 出力するレベルは informational message までとする。
logger_stdout_level=2

# /var/run/hostapd へ UNIX ドメインソケットを作成する。
ctrl_interface=/var/run/hostapd
# gid 0(root) へ制御インターフェイスへの接続を許可する。
ctrl_interface_group=0

# ssid 名。
ssid=任意の ssid 名

# 日本で使用可能な電波出力とチャンネルを使用する。
country_code=JP

# IEEE 802.11d を有効にする。
# country_code を通知し、規制に基づいて
# 電波出力とチャンネルを設定する。
ieee80211d=1

# IEEE 802.11g の帯域を使用する。
hw_mode=g

# チャンネル設定
channel=1

beacon_int=100
dtim_period=2

# 最大 3 台までの端末接続を許可する。
max_num_sta=3

rts_threshold=2347
fragm_threshold=2346

# 接続端末の MAC アドレスに基づく認証を無効にする。
macaddr_acl=0

# 認証アルゴリズムとして Shared Key Authentication を使用する。
auth_algs=1

# 完全な ssid を知らない場合でも接続を許可する。
ignore_broadcast_ssid=0

# wmm パラメータの設定。
wmm_enabled=1
wmm_ac_bk_cwmin=4
wmm_ac_bk_cwmax=10
wmm_ac_bk_aifs=7
wmm_ac_bk_txop_limit=0
wmm_ac_bk_acm=0
wmm_ac_be_aifs=3
wmm_ac_be_cwmin=4
wmm_ac_be_cwmax=10
wmm_ac_be_txop_limit=0
wmm_ac_be_acm=0
wmm_ac_vi_aifs=2
wmm_ac_vi_cwmin=3
wmm_ac_vi_cwmax=4
wmm_ac_vi_txop_limit=94
wmm_ac_vi_acm=0
wmm_ac_vo_aifs=2
wmm_ac_vo_cwmin=2
wmm_ac_vo_cwmax=3
wmm_ac_vo_txop_limit=47
wmm_ac_vo_acm=0

# 送信失敗が頻発するか、何らかの原因で接続が失われると
# 端末の接続解除を実行する。
disassoc_low_ack=1

# HT PHY をサポートしない端末でも接続を許可する。
require_ht=0

eapol_key_index_workaround=0

eap_server=0

# アクセスポイント自身の IP アドレスを 127.0.0.1 とする。
own_ip_addr=127.0.0.1

# WPA2 を使用する。
wpa=2

# 接続認証に使用するパスワード。
wpa_passphrase=任意のパスワード

# 鍵管理アルゴリズムとして WPA-PSK を使用する。
wpa_key_mgmt=WPA-PSK

# RSN / WPA2 の共有鍵暗号化方式として CCMP を使用する。
rsn_pairwise=CCMP

コマンド

sudo lsmod | grep ath

無線 LAN デバイスが ath5k, ath9k に対応しているかどうかを確認する。

iw list

無線 LAN デバイスがサポートしている機能を表示する。

hostapd -d /etc/hostapd/hostapd.conf

設定ファイルをテストする。構成エラーがある場合にはエラーが表示され、
hostapd の実行を中断する。
エラーが無い場合は hostapd が起動され、コンソールへデバッグメッセージが表示される。

service hostapd start

hostapd を起動する。

service hostapd restart

hostapd を再起動する。

service isc-dhcp-server restart

isc-dhcp-server を再起動する。

ufw disable && ufw enable

ufw を再起動する。