Forum: Tomato iptables ograniczenia

' target='_blank'>Link

04 Listopada 2025 07:18:41

Nawigacja

· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato

Wątki na forum

Najnowsze dyskusje

· [MOD] Tomato64 (x86-64)
· [MOD] FreshTomato-AR...
· [MOD] FreshTomato-MI...
· [Artykuł] Jakie tom...
· miniDLNA po NFS
· Nowe routery: UX, UC...
· Włączenie CTF (Cut...
· DLNA - problem
· Nowe oprogramowanie ...
· Polączenie 2 ruterów
· [Howto] Xpenology na...
· Komputer Serwer
· Nowy router wifi7 br...
· Czy to jeszcze NAS?
· Ruter pod VPN
· DLNA
· Optware na CIFS
· Jaki ruter tp linka ...
· Sieć domowa: System...
· Sierra AirLink RV50 ...

Najpopularniejsze obecnie wątki

· [MOD] FreshTomato...	[944]
· [MOD] Tomato64 (x...	[73]

Ankieta

Jaki procesor posiada twój router?

Broadcom MIPSEL

36% [152 głosów]

Broadcom ARM

52% [221 głosów]

Atheros

5% [22 głosów]

Marvell

1% [4 głosów]

Ralink

1% [3 głosów]

Intel/AMD/VIA

1% [5 głosów]

Żaden z powyższych

4% [16 głosów]

Ogółem głosów: 423
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Twoje IP

216.73.216.156

O nie! Gdzie jest JavaScript?
Twoja przeglądarka internetowa nie ma włączonej obsługi JavaScript lub nie obsługuje JavaScript. Proszę włączyć JavaScript w przeglądarce internetowej, aby poprawnie wyświetlić tę witrynę, lub zaktualizować do przeglądarki internetowej, która obsługuje JavaScript.

Zobacz wątek

OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware

Tomato - iptables ograniczenia
WoRo	#1 Dodano 14-10-2009 13:10
User Posty: 10 Dołączył: 22/10/2008 06:27	Witam, Mam takie problem WRT54GS z tomato (mod RAF) 1.25 sprzęt ten podłaczony jest portem WAN do sieci firmowej lokalnej. WRT ma 192.168.1.10 w lokalnej. WRT rozdaje klientom wifi adresy z puli 192.168.2.x. I problem jest tego typu w sieci lokalnej stoi samba (na 192.168.1.1) czy jest jakaś możliwość na WRT w iptables ograniczyć dostęp do 192.168.1.1 (samba) tylko okreslonym komputerom? Np. są sobie klienci 192.168.2.100 do 192.168.2.150 i chcę aby oni nie mieli dostęp do 192.168.1.1 do tej samy a cała reszta aby dostęp miała. Może ktoś pomoc w napisaniu reguł iptables albo zaproponować jakiś inny mechanizm (poza uwierzytelnieniem na sambie - chodzi o brak kontaktu z sambą (nawet proby autoryzacji aby nie było)).


shibby	#2 Dodano 14-10-2009 13:48
SysOp Posty: 17166 Dołączył: 15/01/2009 20:30	tak na szybko Cytat iptables -A INPUT -p tcp -m iprange --src-range 192.168.2.100-192.168.2.200 --dport 139 -j DROP iptables -A INPUT -p tcp -m iprange --src-range 192.168.2.100-192.168.2.200 --dport 445 -j DROP mogl gdzies sie wkrasc blad bo pisane z glowy. Router: Unifi Cloud Gateway Fiber Switch: Unifi USW-Lite-16-PoE Switch: Unifi USW-Flex-Mini - szt. 2 Wi-Fi: Unifi U6-Lite - szt. 2 Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1: Synology SA6400 VM #2: Debian, WWW VM #3: Home Assistant OS


WoRo	#3 Dodano 14-10-2009 16:55
User Posty: 10 Dołączył: 22/10/2008 06:27	Dzięki ale niestety nadal można połączyć się z sambą. Tzn. Tomato przyjęło te regułki ale niestety nic one nie spowodowały.


shibby	#4 Dodano 14-10-2009 17:20
SysOp Posty: 17166 Dołączył: 15/01/2009 20:30	ok a sprobuj Cytat iptables -I OUTPUT -p tcp -m iprange --dst-range 192.168.2.100-192.168.2.200 --sport 139 -j DROP u mnie (ale na dane ip, nie na range) zadzialalo. Router: Unifi Cloud Gateway Fiber Switch: Unifi USW-Lite-16-PoE Switch: Unifi USW-Flex-Mini - szt. 2 Wi-Fi: Unifi U6-Lite - szt. 2 Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1: Synology SA6400 VM #2: Debian, WWW VM #3: Home Assistant OS


WoRo	#5 Dodano 14-10-2009 18:30
User Posty: 10 Dołączył: 22/10/2008 06:27	Cytat iptables -I OUTPUT -p tcp -m iprange -d 192.168.2.100 --sport 139 -j DROP Coś takiego? Bo u mnie ani Twoje ani moje nie działa. Edytowany przez WoRo dnia 14-10-2009 18:33


shibby	#6 Dodano 14-10-2009 19:46
SysOp Posty: 17166 Dołączył: 15/01/2009 20:30	jak -d to bez -m iprange ale wtedy tyczy sie to jednego adresu ip. a wiec iptables -I OUTPUT -p tcp -d 192.168.2.100/32 --sport 139 -j DROP Router: Unifi Cloud Gateway Fiber Switch: Unifi USW-Lite-16-PoE Switch: Unifi USW-Flex-Mini - szt. 2 Wi-Fi: Unifi U6-Lite - szt. 2 Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1: Synology SA6400 VM #2: Debian, WWW VM #3: Home Assistant OS


WoRo	#7 Dodano 14-10-2009 20:09
User Posty: 10 Dołączył: 22/10/2008 06:27	U mnie napewno nie działa. Popraw mnie jesli się mylę: zablokuj ruch wychodzący z IP 192.168.2./100 jeśli portem źródlowym jest 139? Tak należy to czytać? Bo jeśli tak to chyba powinno być --dport 139 (kiedy docelowym jest 139) Ale to te nie za bardzo chce działać...


shibby	#8 Dodano 15-10-2009 11:47
SysOp Posty: 17166 Dołączył: 15/01/2009 20:30	czekaj to 192.168.1.1 to nie jest ip routera tak? to mnie zmylilo, myslalem ze router jest twoim serwerem plikow. w takim razie sprobuj tak: Cytat iptables -A FORWARD -m iprange --src-range 192.168.2.100-192.168.2.200 -d 192.168.1.1/32 -p tcp --dport 139 -j DROP iptables -A FORWARD -s 192.168.1.1/32 -p tcp --sport 139 -m iprange --dst-range 192.168.2.100-192.168.2.200 -j DROP czyli, jezeli pakiet ma byc przekazany z hostow 192.168.2.100-192.168.2.200 do hosta 192.168.1.1 na port docelowy 139 to go odrzuc oraz jezeli pakiet na byc przekazywany z hosta 192.168.1.1 z portem zrodlowym 139 do hostow 192.168.2.100-192.168.2.200 to tez go odrzuc. czemu tu jest sport? bo to samba dziala na takim porcie, nie klient. zrodlem tu jest 192.168.1.1 a wiec port zrodlowy 139. To sie tyczy tego co wyzej napisalem a zle zinterpretowales. INPUT i OUTPUT stosuje sie do pakietow skierowanych do/z routera a nie przez niego przechodzacych (przekazywanych). Dla pakietow przekazywanych stosuje sie lancuch FORWARD (przekazywanych w obie strony) Edytowany przez shibby dnia 15-10-2009 11:50 Router: Unifi Cloud Gateway Fiber Switch: Unifi USW-Lite-16-PoE Switch: Unifi USW-Flex-Mini - szt. 2 Wi-Fi: Unifi U6-Lite - szt. 2 Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1: Synology SA6400 VM #2: Debian, WWW VM #3: Home Assistant OS


WoRo	#9 Dodano 15-10-2009 14:43
User Posty: 10 Dołączył: 22/10/2008 06:27	No to teraz sam juz nie wiem. Bo to też nie działa. Aby wyjaśnić: WRT54GS ma adres 192.168.1.10 w sieci firmowej W tej sieci jest sobie samba na 192.168.1.1. Sam WRT (z pomidorem) tworzy sieć 192.168.2.X i ma w tej sieci 192.168.2.1 gdzie jest routerem. Klienci maja adres 192.168.2.YYY.


shibby	#10 Dodano 15-10-2009 17:11
SysOp Posty: 17166 Dołączył: 15/01/2009 20:30	to moze Cytat iptables -t mangle -A POSTROUTING ! -s 192.168.1.1/32 -m iprange --dst-range 192.168.2.100-192.168.2.200 -j DROP iptables -t mangle -A PREROUTING ! -d 192.168.1.1/32 -m iprange --src-range 192.168.2.100-192.168.2.200 -j DROP Router: Unifi Cloud Gateway Fiber Switch: Unifi USW-Lite-16-PoE Switch: Unifi USW-Flex-Mini - szt. 2 Wi-Fi: Unifi U6-Lite - szt. 2 Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1: Synology SA6400 VM #2: Debian, WWW VM #3: Home Assistant OS


WoRo	#11 Dodano 18-10-2009 08:36
User Posty: 10 Dołączył: 22/10/2008 06:27	To ja już nie wiem - bo to też nie działa. Może winne jest to, że mam autoryzacje z WPA2 Enterprise... sam już nie wiem. Zmieniłem już wszystko łącznie z tym, że router stał się switchem... wyłączony port wan, zmieniłem adresację,.. nie wiem co jest grane... Może kolejność jest ważna albo robię coś innego źle. Wpisuję to w konsoli zalogowany na router via ssh (probowałem też w skrypcie firewall). Edytowany przez WoRo dnia 18-10-2009 10:00

Przejdź do forum

Zaloguj

Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?

Aktualnie online

· Gości online: 67

· Użytkowników online: 0

· Łącznie użytkowników: 24,126
· Najnowszy użytkownik: goldi111

Czat

Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto

23-09-2025 20:10

Mam rtax82u z merlinem, probuje zainstaowac Download master i mam info, zeserwer zdalny nie odpowiada. Sprawdalem przez kika dni i bz.

Maniek91PL

15-05-2025 19:35

witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców

servee

24-01-2025 18:18

Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?

shibby

17-01-2025 07:45

a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer
y zewn? Jak tak to jego też przez zabezpieczenie podepnij.

shibby

17-01-2025 07:43

no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow
ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.

servee

12-01-2025 12:52

Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?

dawidt

21-12-2024 01:09

siema

Maniek91PL

06-11-2024 22:37

dzięki !

maxikaaz

29-10-2024 14:27

@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL

26-10-2024 22:07

siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

Archiwum shoutboksa

137,804,130 unikalnych wizyt