' target='_blank'>Link
21 Listopada 2024 18:37:39
Nawigacja
· Strona Główna
· Forum
· Tomato by Shibby
· FreshTomato

Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· Szukam zaproszeni... [19]
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.218.245.179
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Zablokowanie dostępu do zarządzania routera
karpi
Top  #1 Drukuj post
Dodano 25-12-2015 11:47
Na routerku z tomato mam ustawione 2 vlany z 2 podsieciami 192.168.0.0/24 i 192.168.3.0/24
Chcę dla jednej podsieci wykosić dostęp do zarządzania routerka przynajmniej na porcie 80
Próbowałem z wykorzystaniem access restritions i iptables, ale nie dałem rady...
 
macioh
Top  #2 Drukuj post
Dodano 25-12-2015 15:46
Cześć, u mnie podobnie, tylko że trzy podsieci w trzech vlanach:
br0 - vlan1 (192.168.1.0/24)
br1 - vlan2 (192.168.2.0/24)
br3 - vlan3 (192.168.3.0/24)

Wszędzie DHCP a w konfiguracji DNS mam włączoną opcję "Use internal DNS" - co w tym przypadku jest ważne, bo Klienci jako DNS mają wpisany adres bramy.

Zarządzanie mam na 443.

Najpierw sprawdź sobie aktualne reguły: iptables -L INPUT -v -n --line-numbers (u mnie wynik wygląda tak:)
Kod Pobierz kod źródłowy  

Chain INPUT (policy DROP 3 packets, 410 bytes)

num   pkts bytes target     prot opt in     out     source               destination

1       91  3820 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

2    19161 2824K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

3        2    92 shlimit    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW

4       54  5676 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

5     1124 79517 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0

6        6   361 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0

7       34  1088 ACCEPT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0

8      296 89246 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68

9      104  5776 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51515



Teraz, żeby wyciąć dostęp do zarządzania dla vlan2 dodałem trzy wpisy ponad regułą nr6, która dopuszcza cały ruch z br1:
Kod Pobierz kod źródłowy  

iptables -I INPUT 6 -i br1 -d 192.168.1.1 -j DROP

iptables -I INPUT 7 -p tcp --dport 443 -i br1 -d 192.168.2.1 -j DROP

iptables -I INPUT 8 -i br1 -d 192.168.3.1 -j DROP


Ponowne wywołanie iptables -L INPUT -v -n --line-numbers daje
Kod Pobierz kod źródłowy  

Chain INPUT (policy DROP 80 packets, 10472 bytes)

num   pkts bytes target     prot opt in     out     source               destination

1      120  5040 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

2    25072 4657K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

3        2    92 shlimit    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW

4       63  6896 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

5     1770  118K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0

6       73  4380 DROP       all  --  br1    *       0.0.0.0/0            192.168.1.1

7       18  1080 DROP       tcp  --  br1    *       0.0.0.0/0            192.168.2.1          tcp dpt:443

8       72  4320 DROP       all  --  br1    *       0.0.0.0/0            192.168.3.1

9      344 24856 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0

10      47  1504 ACCEPT     all  --  br2    *       0.0.0.0/0            0.0.0.0/0

11     430  130K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68

12     145  8052 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51515


Jak widać, ruch z br1 do panelu zarządzania jest dropowany :-)

Jeśli zamiast interfejsów chcesz operować IP, to wtedy zamiast -i br1 wpisujesz np -s 192.168.0.0/24.
 
karpi
Top  #3 Drukuj post
Dodano 25-12-2015 16:20
W dobrym kierunku szedłem, ale brakowało trochę kompetencji. W każdym razie działa elegancko.

Wielkie dzięki Smile
 
ovner
Top  #4 Drukuj post
Dodano 26-12-2015 10:20
Shibby przesuń temat do tutoriali, napewno się przyda innym i łatwiej będzie znaleźć.
TUF-AX5400 @ Firmware:388.1_0-gnuton1
RT-N16 @ FreshTomato Firmware 2023.3 MIPSR2 K26 USB VPN + Huawei e3372 no-hilink
www.speedtest.net/result/14587008641.png
 
kamilj
Top  #5 Drukuj post
Dodano 26-12-2015 10:37
Temat przeniesiony.
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 99

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
95,145,117 unikalnych wizyt
Copyright © OpenLinksys 2006-2021


Powered by PHPFusion Copyright © 2024 PHP Fusion Inc
Released as free software without warranties under GNU Affero GPL v3.