|
Blokada całegu ruchu poza kilko zew IP
|
| vorobiej |
Dodano 15-10-2015 10:27
|
User
Posty: 35
Dołączył: 21/08/2007 17:52
|
Mam w sieci jeden komputer w którym chce zablokować cały dostęp do internetu.
Ma być odblokowanych kilka zew IP do zdalnego pulpitu.
Możecie podpowiedzieć w jaki sposób mam to zrobić.
Edytowany przez b3rok dnia 15-10-2015 12:10
|
| |
|
|
| hermes-80 |
Dodano 15-10-2015 10:51
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
A jaki masz sprzęt - w Tomato blokuje się to w Access Restriction po MAC lub IP.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| vorobiej |
Dodano 15-10-2015 11:03
|
User
Posty: 35
Dołączył: 21/08/2007 17:52
|
mam NETGEAR 3500 V2
nie wiem jak wpisać regułę na jeden komputer do którego po zdalnym pulpicie łączy się kilka zew adres IP |
| |
|
|
| shibby |
Dodano 15-10-2015 11:19
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
3500 v2 czy 3500L v2?
oba zresztą są wspierane przez tomato
http://tomato.groov.pl/?page_id=69
to ten komputer łączy się do kilku adresów zewnętrznych czy to do niego się łączą?
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| vorobiej |
Dodano 15-10-2015 11:32
|
User
Posty: 35
Dołączył: 21/08/2007 17:52
|
3500L v2
Do niego łączą się.
Shibby możesz temat poprawić? Ortograf taki... aż wstyd mi 
Połączony z 16 październik 2015 07:16:59:
W Access Restriction mogę zablokować cały ruch do internetu, ale jak zrobić kilka wyjątków?
Edytowany przez vorobiej dnia 16-10-2015 07:16
Netgear WNR3500L v2 x3, WT3020x3
OMV + OSMC
|
| |
|
|
| shibby |
Dodano 16-10-2015 09:05
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
zablokowanie ruchu wychodzącego (czyli src = ip tego kompa) powinno załatwić sprawę. Komputery łącząc się do tego kompa powinny "wyjść" po nawiązanym połączeniu.
Jeżeli to nie zadziała to można przez firewall najpierw zablokować cały ruch a później wpuścić wybrane ipki (piszę z pamięci)
iptables -A FORWARD 1 -p tcp -d -j REJECT
iptables -A FORWARD 1 -p tcp -s -d -j ACCEPT
i drugą regułkę powtarzasz ile razy potrzeba wpuszczając inne ipki. Można też ją rozbudować o dport by tylko dany port docelowy wpuszczał, np. dla RDP będzie --dport 3389
daj znać czy działa.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| vorobiej |
Dodano 16-10-2015 10:40
|
User
Posty: 35
Dołączył: 21/08/2007 17:52
|
Pierwsza opcja nie bardzo pasuje bo wtedy każde IP może podłączyć się
Druga opcja nie działa, przepuszcza wszystko.
Połączony z 17 październik 2015 18:40:17:
Potomnym z podobnym problemem.
Wpisałem i działa:
iptables -I FORWARD -s 10.0.0.100 -j DROP
iptables -I FORWARD -p tcp -s 10.0.0.100 -d -j ACCEPT
iptables -I FORWARD -p tcp -s 10.0.0.100 -d -j ACCEPT
I mam kolejne pytanie.
Gdzie mogę nauczyć się prostych łańcuchów IPTABLES pod Tomato?
Generatory online nie działają, albo nie umiem ich obsługiwać.
np ten:
http://www.perturb.org/content/iptables-rules.html
Edytowany przez vorobiej dnia 17-10-2015 18:40
Netgear WNR3500L v2 x3, WT3020x3
OMV + OSMC
|
| |
|
' target='_blank'>Link
