Jaki procesor posiada twój router?
Broadcom MIPSEL
36% [151 głosów]
Broadcom ARM
52% [216 głosów]
Atheros
5% [22 głosów]
Marvell
1% [4 głosów]
Ralink
1% [3 głosów]
Intel/AMD/VIA
1% [5 głosów]
Żaden z powyższych
4% [15 głosów]
Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować. Rozpoczęto: 02/02/2015 09:38
O nie! Gdzie jest JavaScript? Twoja przeglądarka internetowa nie ma włączonej obsługi JavaScript lub nie obsługuje JavaScript.
Proszę włączyć JavaScript w przeglądarce internetowej, aby poprawnie wyświetlić tę witrynę, lub zaktualizować do przeglądarki internetowej, która obsługuje JavaScript.
Zablokowanie dostępu do zarządzania routera
karpi
Dodano 25-12-2015 11:47
User
Posty: 11
Dołączył: 07/10/2012 10:53
Na routerku z tomato mam ustawione 2 vlany z 2 podsieciami 192.168.0.0/24 i 192.168.3.0/24
Chcę dla jednej podsieci wykosić dostęp do zarządzania routerka przynajmniej na porcie 80
Próbowałem z wykorzystaniem access restritions i iptables, ale nie dałem rady...
macioh
Dodano 25-12-2015 15:46
User
Posty: 5
Dołączył: 23/08/2015 15:21
Cześć, u mnie podobnie, tylko że trzy podsieci w trzech vlanach:
br0 - vlan1 (192.168.1.0/24)
br1 - vlan2 (192.168.2.0/24)
br3 - vlan3 (192.168.3.0/24)
Wszędzie DHCP a w konfiguracji DNS mam włączoną opcję "Use internal DNS" - co w tym przypadku jest ważne, bo Klienci jako DNS mają wpisany adres bramy.
Zarządzanie mam na 443.
Najpierw sprawdź sobie aktualne reguły: iptables -L INPUT -v -n --line-numbers (u mnie wynik wygląda tak:)
Chain INPUT (policy DROP 3 packets, 410 bytes)
num pkts bytes target prot opt in out source destination
1 91 3820 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 19161 2824K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 2 92 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
4 54 5676 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5 1124 79517 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
6 6 361 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0
7 34 1088 ACCEPT all -- br2 * 0.0.0.0/0 0.0.0.0/0
8 296 89246 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
9 104 5776 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51515
Teraz, żeby wyciąć dostęp do zarządzania dla vlan2 dodałem trzy wpisy ponad regułą nr6, która dopuszcza cały ruch z br1:
iptables -I INPUT 6 -i br1 -d 192.168.1.1 -j DROP
iptables -I INPUT 7 -p tcp --dport 443 -i br1 -d 192.168.2.1 -j DROP
iptables -I INPUT 8 -i br1 -d 192.168.3.1 -j DROP
Ponowne wywołanie iptables -L INPUT -v -n --line-numbers daje
Chain INPUT (policy DROP 80 packets, 10472 bytes)
num pkts bytes target prot opt in out source destination
1 120 5040 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 25072 4657K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 2 92 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
4 63 6896 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5 1770 118K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
6 73 4380 DROP all -- br1 * 0.0.0.0/0 192.168.1.1
7 18 1080 DROP tcp -- br1 * 0.0.0.0/0 192.168.2.1 tcp dpt:443
8 72 4320 DROP all -- br1 * 0.0.0.0/0 192.168.3.1
9 344 24856 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0
10 47 1504 ACCEPT all -- br2 * 0.0.0.0/0 0.0.0.0/0
11 430 130K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
12 145 8052 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51515
Jak widać, ruch z br1 do panelu zarządzania jest dropowany :-)
Jeśli zamiast interfejsów chcesz operować IP, to wtedy zamiast -i br1 wpisujesz np -s 192.168.0.0/24 .
karpi
Dodano 25-12-2015 16:20
User
Posty: 11
Dołączył: 07/10/2012 10:53
W dobrym kierunku szedłem, ale brakowało trochę kompetencji. W każdym razie działa elegancko.
Wielkie dzięki
ovner
Dodano 26-12-2015 10:20
Power User
Posty: 368
Dołączył: 15/08/2009 21:34
Shibby przesuń temat do tutoriali, napewno się przyda innym i łatwiej będzie znaleźć.
TUF-AX5400 @ Firmware:388.1_0-gnuton1
RT-N16 @ FreshTomato Firmware 2023.3 MIPSR2 K26 USB VPN + Huawei e3372 no-hilink
kamilj
Dodano 26-12-2015 10:37
Moderator
Posty: 982
Dołączył: 28/12/2011 12:24
Temat przeniesiony.
------------------------------------------------------------------------------
[b]
RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
Przejdź do forum
Regulamin
Testy i recenzje
Tutoriale
Projekty
Ogłoszenia - Komunikaty - Postulaty
Tomato - firmware
DD-WRT - firmware
OpenWrt - firmware
Oryginalny firmware
Pozostałe firmware
Asus
D-Link
Netgear
TP-Link
Linksys
Ubiquiti (EdgeRouter, Unifi)
Pozostałe
Rozwiązanie dedykowane
Składaki i rozwiązania alternatywne
Modemy 3G/LTE
Android / Windows Mobile
Kamery sieciowe
ITX / Media Center
Technologia VoIP
Kupię, sprzedam, zamienię, oddam
Ogłoszenia, pytania, porady w zakupie
Free zone
Kosz
· Gości online: 20
· Użytkowników online: 0
· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Musisz się zalogować, aby opublikować wiadomość.