openrouter.info
https://qqq.openrouter.info/forum/

blokowanie dostepu do IP
https://qqq.openrouter.info/forum/viewtopic.php?f=22&t=4724
Strona 1 z 2

Autor:  norbik11 [ 15 paź 2019, 08:35 ]
Tytuł:  blokowanie dostepu do IP

Witam
Mam openwrt 19.07 zrobiłem sobie Vlan do którego podpięty jest drugi ruter. Wszystko działa niby ok, ale potrzebuje aby z tego rutera 2 nie można było się dostać do rutera 1.
Chciałem to zrobić przez firewall i poustawiałem jak w foto ale nie działa. Czy możne ktoś pomóc?
https://drive.google.com/open?id=1tzaO- ... prZkcVAKGc

Autor:  obsy [ 15 paź 2019, 08:54 ]
Tytuł:  Re: blokowanie dostepu do IP

Zapomnij o luci, konfigi pokazuj

iptables -I INPUT -p tcp --dport 80 -s XXX -d 192.168.1.1 -j DROP

Autor:  norbik11 [ 15 paź 2019, 08:58 ]
Tytuł:  Re: blokowanie dostepu do IP

Kiedyś tak to robiłem i działało , ale teraz nie. Możliwe że coś nie tak robiłem. Czy 192.168.1.1 to adres rutera 1, ,a XXX adres urządzenia które ma nie mieć dostępu do rutera1 ?

Autor:  obsy [ 15 paź 2019, 09:14 ]
Tytuł:  Re: blokowanie dostepu do IP

Tak.

Autor:  norbik11 [ 15 paź 2019, 10:45 ]
Tytuł:  Re: blokowanie dostepu do IP

Jeszcze szybkie pytanie, czy simpleshaper działa na openwrt 19.07 ?

Autor:  obsy [ 15 paź 2019, 11:47 ]
Tytuł:  Re: blokowanie dostepu do IP

On używa tylko tc, więc tak, powinien.

Autor:  norbik11 [ 15 paź 2019, 21:53 ]
Tytuł:  Re: blokowanie dostepu do IP

iptables -I INPUT -p tcp --dport 80 -s 192.168.1.2 -d 192.168.1.1 -j DROP
nadal laptop 1.2 ma dostep do 1.1

Autor:  obsy [ 15 paź 2019, 22:33 ]
Tytuł:  Re: blokowanie dostepu do IP

Zaloguj się do routera i pokaż wynik polecenia

iptables -v -L INPUT

Autor:  norbik11 [ 15 paź 2019, 22:35 ]
Tytuł:  Re: blokowanie dostepu do IP

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- any any wifi_lenovo.lan OpenWrt.lan tcp dpt:www
364 34811 ACCEPT all -- lo any anywhere anywhere /* !fw3 */
1222K 495M input_rule all -- any any anywhere anywhere /* !fw3: Custom input rule chain */
1217K 495M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* !fw3 */
1585 82156 syn_flood tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
3059 327K zone_lan_input all -- br-lan any anywhere anywhere /* !fw3 */
614 37628 zone_wan_input all -- eth0.2 any anywhere anywhere /* !fw3 */
1444 95327 zone_VLAN33_input all -- br-vlan3 any anywhere anywhere /* !fw3 */

Autor:  obsy [ 15 paź 2019, 22:54 ]
Tytuł:  Re: blokowanie dostepu do IP

Jak sam widzisz masz zero pakietów na liczniku. Więc:
- albo on nie ma adresu 192.168.1.2
- albo odwołujesz się do czegoś innego niż www
- albo to nie jest ruch tcp tylko udp/icmp.
- albo regułę nie zrobiłeś na 192.168.1.1 tylko na czymś innym

Autor:  norbik11 [ 15 paź 2019, 23:12 ]
Tytuł:  Re: blokowanie dostepu do IP

żle napisałem, jest tak
iptables -I INPUT -p tcp --dport 80 -s 192.168.6.2 -d 192.168.6.1 -j DROP
ale to chyba nie wiele zmienia

i to mniej wiecej oddaje to:
0 0 DROP tcp -- any any wifi_lenovo.lan OpenWrt.lan tcp dpt:www

Autor:  obsy [ 15 paź 2019, 23:14 ]
Tytuł:  Re: blokowanie dostepu do IP

Na pewno to ma taki adres i na pewno odwołujesz się www a nie czegoś innego?

192.168.6.1 to ten router na którym jest wprowadzona na regułka, tak?

Autor:  norbik11 [ 15 paź 2019, 23:38 ]
Tytuł:  Re: blokowanie dostepu do IP

tak, do niego podłączony jest lapek po wifi.

Autor:  obsy [ 15 paź 2019, 23:41 ]
Tytuł:  Re: blokowanie dostepu do IP

iptables -I INPUT -d 192.168.6.1 -j DROP

To ci w ogóle zablokuje dostęp do 192.168.6.1. Jezeli zrobisz to z konsoli to później będziesz musiał zrestartować router żeby odzyskać dostęp.

Autor:  norbik11 [ 16 paź 2019, 07:36 ]
Tytuł:  Re: blokowanie dostepu do IP

tak, blokuje dostęp wszystkim do 6.1, ale ja bym chciał aby blokowało dla ip, lub zakresu ip lub wszystkim którzy są podłączeni do wydzielonego vlanu.

Autor:  obsy [ 16 paź 2019, 08:42 ]
Tytuł:  Re: blokowanie dostepu do IP

Polecenie j/w. Musi działać jeżeli masz taką adresację jak podałeś.

Autor:  norbik11 [ 16 paź 2019, 16:12 ]
Tytuł:  Re: blokowanie dostepu do IP

iptables -I INPUT -s 192.168.9.0/24 -d 192.168.6.1 -j DROP adres Vlan to 192.168.9.1 i zadziałało

Autor:  norbik11 [ 16 paź 2019, 16:21 ]
Tytuł:  Re: blokowanie dostepu do IP

Gdzie dodać ten wpis aby działało po resecie rutera?

Autor:  obsy [ 16 paź 2019, 16:23 ]
Tytuł:  Re: blokowanie dostepu do IP

No to pytałem się czy masz taki adres IP. Potwierdzałeś że tak, a tu nagle okazuje się że na całkiem innej adresacji to masz. Ehh...

Do /etc/firewall.user

Autor:  norbik11 [ 16 paź 2019, 20:09 ]
Tytuł:  Re: blokowanie dostepu do IP

Ruter ma 6.1 , a vlan wydzielony 9.1. OK wszystko działa super Bardzo Dziękuję za pomoc.

Strona 1 z 2 Strefa czasowa UTC+1godz. [letni]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/