blokowanie dostepu do IP

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

Witam
Mam openwrt 19.07 zrobiłem sobie Vlan do którego podpięty jest drugi ruter. Wszystko działa niby ok, ale potrzebuje aby z tego rutera 2 nie można było się dostać do rutera 1.
Chciałem to zrobić przez firewall i poustawiałem jak w foto ale nie działa. Czy możne ktoś pomóc?
https://drive.google.com/open?id=1tzaO- ... prZkcVAKGc

obsy

Zapomnij o luci, konfigi pokazuj

iptables -I INPUT -p tcp --dport 80 -s XXX -d 192.168.1.1 -j DROP

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

Kiedyś tak to robiłem i działało , ale teraz nie. Możliwe że coś nie tak robiłem. Czy 192.168.1.1 to adres rutera 1, ,a XXX adres urządzenia które ma nie mieć dostępu do rutera1 ?

obsy

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

Jeszcze szybkie pytanie, czy simpleshaper działa na openwrt 19.07 ?

obsy

On używa tylko tc, więc tak, powinien.

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

iptables -I INPUT -p tcp --dport 80 -s 192.168.1.2 -d 192.168.1.1 -j DROP
nadal laptop 1.2 ma dostep do 1.1

obsy

Zaloguj się do routera i pokaż wynik polecenia

iptables -v -L INPUT

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- any any wifi_lenovo.lan OpenWrt.lan tcp dpt:www
364 34811 ACCEPT all -- lo any anywhere anywhere /* !fw3 */
1222K 495M input_rule all -- any any anywhere anywhere /* !fw3: Custom input rule chain */
1217K 495M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* !fw3 */
1585 82156 syn_flood tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
3059 327K zone_lan_input all -- br-lan any anywhere anywhere /* !fw3 */
614 37628 zone_wan_input all -- eth0.2 any anywhere anywhere /* !fw3 */
1444 95327 zone_VLAN33_input all -- br-vlan3 any anywhere anywhere /* !fw3 */

obsy

Jak sam widzisz masz zero pakietów na liczniku. Więc:
- albo on nie ma adresu 192.168.1.2
- albo odwołujesz się do czegoś innego niż www
- albo to nie jest ruch tcp tylko udp/icmp.
- albo regułę nie zrobiłeś na 192.168.1.1 tylko na czymś innym

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

żle napisałem, jest tak
iptables -I INPUT -p tcp --dport 80 -s 192.168.6.2 -d 192.168.6.1 -j DROP
ale to chyba nie wiele zmienia

i to mniej wiecej oddaje to:
0 0 DROP tcp -- any any wifi_lenovo.lan OpenWrt.lan tcp dpt:www

obsy

Na pewno to ma taki adres i na pewno odwołujesz się www a nie czegoś innego?

192.168.6.1 to ten router na którym jest wprowadzona na regułka, tak?

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

tak, do niego podłączony jest lapek po wifi.

obsy

iptables -I INPUT -d 192.168.6.1 -j DROP

To ci w ogóle zablokuje dostęp do 192.168.6.1. Jezeli zrobisz to z konsoli to później będziesz musiał zrestartować router żeby odzyskać dostęp.

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

tak, blokuje dostęp wszystkim do 6.1, ale ja bym chciał aby blokowało dla ip, lub zakresu ip lub wszystkim którzy są podłączeni do wydzielonego vlanu.

obsy

Polecenie j/w. Musi działać jeżeli masz taką adresację jak podałeś.

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

iptables -I INPUT -s 192.168.9.0/24 -d 192.168.6.1 -j DROP adres Vlan to 192.168.9.1 i zadziałało

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

Gdzie dodać ten wpis aby działało po resecie rutera?

obsy

No to pytałem się czy masz taki adres IP. Potwierdzałeś że tak, a tu nagle okazuje się że na całkiem innej adresacji to masz. Ehh...

Do /etc/firewall.user

norbik11 · **Rejestracja:** 10 gru 2012, 00:51 **Posty:** 194

Ruter ma 6.1 , a vlan wydzielony 9.1. OK wszystko działa super Bardzo Dziękuję za pomoc.

blokowanie dostepu do IP

Kto jest online