Witajcie.
Mam Netger WNR3500L, tomato 1.28 RAF PL by shibby i takie oto pytanie.
Czy jest mozliwe a jezeli tak to jak aby ktos kto laczy sie przez kanal Open VPN mial dostep tylko do jednego komputera w sieci i tylko po jednym porcie np: dostep zdalny do wspomnianego komputera.
Rozumiem ze przez iptables mam to zrobic ?
Czy regulke firewalla ustawiam w Administracja > Skrypty > Firewall ?
Klient Open VPN otrzyma przydzielony numer IP 10.5.0.2 przez serwer 2 Open VPN. Chcialbym zeby mial on dostep tylko do komputera o IP 192.168.2.199 i tylko po porcie 3389 przez ktory bedzie mial zdany dostep do tego komputera. Czyli wszystkie inne komputery w sieci maja byc dla klienta Open VPN nie dostepne.
Czy ponizszy zapis iptables zapewni mi scenariusz opisany powyzej.
iptables -A INPUT -i tap22 -j DROP
# odrzucam wszystko co przychodzi z interface tap22 Open VPN Serwer 2
iptables -A INPUT -i tap22 -s 10.5.0.2 -p udp -d 192.168.2.199 --dport 3389 -j ACCEPT
# zezwalam za pakiety ktore pochodza z interface Open VPN tap22, adresu 10.5.0.2 o protokole UDP i sa kierowane do komputera o adresie 192.168.2.199 po porcie 3389
to wszystko kwestia podestowania. Jedyna moja uwaga to taka ze -p tcp a nie udp i nie input tylko forward. Dropowac wszystkiego nie musisz na poczatku. W ustawieniach vpna masz mozliwosc zmiany firewalla z auto na reczny.
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
iptables -t nat -A PREROUTING -s 10.5.1.0/255.255.255.0 -d ! 192.168.2.199 -j DROP
# powoduje że dla Open VPN widoczny będzie tylko komputer o numerze IP 192.168.2.199. Ta regułę musiałem dodać bo bez nie cały czas mogłem pingować IP routera czyli 192.168.2.254 i się na niego logować
Mam jeszcze na koniec takie pytanie. Bo chciałbym zrobić aby tunel Open VPN mogł być zestawiany tylko w godzinach miedzy 18 a 23 ale też żeby router automatycznie odłączał zalogowanego klienta do Open VPN po godzinie 23.
Do tej pory udało mi się zrobić tylko ograniczenie na zezwolenie logowania w wspomnianych godzinach.
a ja tutaj tez mialbym pytanko interesowalo by mnie wyciecie ftp samby i oczywiscie logowania na router z zewnatrz i dostep tylko z mojego laptopa. Problem w tym ze bym musial logowac sie z roznych IP i pytanko czy jest mozliwe ustaawienie dostepu po MACu?
Orange 300/50 Mb/s + ONT Terminal HPE MS gen8 Proxmox 7.0-11 VMs: Router OPNsense 23.X-amd64 and OMV HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), HP 331T, 4x4TB WD RED Asus RT-AC68U AccessPoint
· Łącznie użytkowników: 24,126 · Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.
amikot
13-06-2025 19:58
to forum wygląda na martwe
Maniek91PL
15-05-2025 19:35
witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
' target='_blank'>Link
