' target='_blank'>Link
27 Listopada 2024 05:36:58
Nawigacja
· Strona Główna
· Forum
· Tomato by Shibby
· FreshTomato

Wątki na forum
Najnowsze dyskusje
· Nowe routery: UX, UC...
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [1]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.227.52.248
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Tomato - iptables ograniczenia
WoRo
Top  #1 Drukuj post
Dodano 14-10-2009 13:10
Witam,
Mam takie problem WRT54GS z tomato (mod RAF) 1.25 sprzęt ten podłaczony jest portem WAN do sieci firmowej lokalnej. WRT ma 192.168.1.10 w lokalnej. WRT rozdaje klientom wifi adresy z puli 192.168.2.x. I problem jest tego typu w sieci lokalnej stoi samba (na 192.168.1.1) czy jest jakaś możliwość na WRT w iptables ograniczyć dostęp do 192.168.1.1 (samba) tylko okreslonym komputerom?
Np. są sobie klienci 192.168.2.100 do 192.168.2.150 i chcę aby oni nie mieli dostęp do 192.168.1.1 do tej samy a cała reszta aby dostęp miała.

Może ktoś pomoc w napisaniu reguł iptables albo zaproponować jakiś inny mechanizm (poza uwierzytelnieniem na sambie - chodzi o brak kontaktu z sambą (nawet proby autoryzacji aby nie było)).
 
shibby
Top  #2 Drukuj post
Dodano 14-10-2009 13:48
tak na szybko

Cytat

iptables -A INPUT -p tcp -m iprange --src-range 192.168.2.100-192.168.2.200 --dport 139 -j DROP
iptables -A INPUT -p tcp -m iprange --src-range 192.168.2.100-192.168.2.200 --dport 445 -j DROP


mogl gdzies sie wkrasc blad bo pisane z glowy.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
WoRo
Top  #3 Drukuj post
Dodano 14-10-2009 16:55
Dzięki ale niestety nadal można połączyć się z sambą. Tzn. Tomato przyjęło te regułki ale niestety nic one nie spowodowały.
 
shibby
Top  #4 Drukuj post
Dodano 14-10-2009 17:20
ok a sprobuj

Cytat

iptables -I OUTPUT -p tcp -m iprange --dst-range 192.168.2.100-192.168.2.200 --sport 139 -j DROP


u mnie (ale na dane ip, nie na range) zadzialalo.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
WoRo
Top  #5 Drukuj post
Dodano 14-10-2009 18:30

Cytat


iptables -I OUTPUT -p tcp -m iprange -d 192.168.2.100 --sport 139 -j DROP


Coś takiego? Bo u mnie ani Twoje ani moje nie działa.
Edytowany przez WoRo dnia 14-10-2009 18:33
 
shibby
Top  #6 Drukuj post
Dodano 14-10-2009 19:46
jak -d to bez -m iprange ale wtedy tyczy sie to jednego adresu ip.

a wiec
iptables -I OUTPUT -p tcp -d 192.168.2.100/32 --sport 139 -j DROP
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
WoRo
Top  #7 Drukuj post
Dodano 14-10-2009 20:09
U mnie napewno nie działa.
Popraw mnie jesli się mylę:
zablokuj ruch wychodzący z IP 192.168.2./100 jeśli portem źródlowym jest 139? Tak należy to czytać?
Bo jeśli tak to chyba powinno być --dport 139 (kiedy docelowym jest 139)
Ale to te nie za bardzo chce działać...
 
shibby
Top  #8 Drukuj post
Dodano 15-10-2009 11:47
czekaj to 192.168.1.1 to nie jest ip routera tak? to mnie zmylilo, myslalem ze router jest twoim serwerem plikow.

w takim razie sprobuj tak:

Cytat

iptables -A FORWARD -m iprange --src-range 192.168.2.100-192.168.2.200 -d 192.168.1.1/32 -p tcp --dport 139 -j DROP
iptables -A FORWARD -s 192.168.1.1/32 -p tcp --sport 139 -m iprange --dst-range 192.168.2.100-192.168.2.200 -j DROP


czyli,
jezeli pakiet ma byc przekazany z hostow 192.168.2.100-192.168.2.200 do hosta 192.168.1.1 na port docelowy 139 to go odrzuc
oraz
jezeli pakiet na byc przekazywany z hosta 192.168.1.1 z portem zrodlowym 139 do hostow 192.168.2.100-192.168.2.200 to tez go odrzuc. czemu tu jest sport? bo to samba dziala na takim porcie, nie klient. zrodlem tu jest 192.168.1.1 a wiec port zrodlowy 139. To sie tyczy tego co wyzej napisalem a zle zinterpretowales. INPUT i OUTPUT stosuje sie do pakietow skierowanych do/z routera a nie przez niego przechodzacych (przekazywanych). Dla pakietow przekazywanych stosuje sie lancuch FORWARD (przekazywanych w obie strony)
Edytowany przez shibby dnia 15-10-2009 11:50
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
WoRo
Top  #9 Drukuj post
Dodano 15-10-2009 14:43
No to teraz sam juz nie wiem. Bo to też nie działa.

Aby wyjaśnić:
WRT54GS ma adres 192.168.1.10 w sieci firmowej
W tej sieci jest sobie samba na 192.168.1.1.

Sam WRT (z pomidorem) tworzy sieć 192.168.2.X i ma w tej sieci 192.168.2.1 gdzie jest routerem.
Klienci maja adres 192.168.2.YYY.
 
shibby
Top  #10 Drukuj post
Dodano 15-10-2009 17:11
to moze

Cytat

iptables -t mangle -A POSTROUTING ! -s 192.168.1.1/32 -m iprange --dst-range 192.168.2.100-192.168.2.200 -j DROP
iptables -t mangle -A PREROUTING ! -d 192.168.1.1/32 -m iprange --src-range 192.168.2.100-192.168.2.200 -j DROP
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
WoRo
Top  #11 Drukuj post
Dodano 18-10-2009 08:36
To ja już nie wiem - bo to też nie działa. Może winne jest to, że mam autoryzacje z WPA2 Enterprise... sam już nie wiem.

Zmieniłem już wszystko łącznie z tym, że router stał się switchem... wyłączony port wan, zmieniłem adresację,.. nie wiem co jest grane...

Może kolejność jest ważna albo robię coś innego źle. Wpisuję to w konsoli zalogowany na router via ssh (probowałem też w skrypcie firewall).
Edytowany przez WoRo dnia 18-10-2009 10:00
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 82

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
95,936,037 unikalnych wizyt
Copyright © OpenLinksys 2006-2021


Powered by PHPFusion Copyright © 2024 PHP Fusion Inc
Released as free software without warranties under GNU Affero GPL v3.