|
blokowanie dotępu w LAN
|
| feszt |
Dodano 05-08-2007 18:57
|
User
Posty: 63
Dołączył: 10/11/2006 16:01
|
Witam
Mam mały problem, mam tuner TV sat i pod portem 3001 jest konfiguracja emulatora - serwera card (http). Problem w tym że nie jest on chroniony żadnym hasłem. Wiec mam pytanie jak zablokować ten port 3001 w sieci wenętrznej LAN by żaden użytkownik nie miał możliwości podgladu ustawień? Próbowałem się bawić w Acces Restriction. W blocked resources mam ustawione na TCP port 3001 i L7:http. Dodatkowo applies : all except i mac mojego kompa. Nic nie działa.
Asus RT-AC86U + Merlin + Acasis DT-S2 (1TB RAID1)
|
| |
|
|
| jimmy |
Dodano 05-08-2007 20:18
|
Super User
Posty: 461
Dołączył: 15/03/2007 19:13
|
Access restriction działa tylko na porcie WAN a nie LAN. Ew. może dać się coś takiego osiągnąć bawiąc się iptables. |
| |
|
|
| feszt |
Dodano 05-08-2007 22:34
|
User
Posty: 63
Dołączył: 10/11/2006 16:01
|
no to lipa, na moim byłym zyxelu 660hw taką opcje miałem, może jednak da się coś zrobić
Asus RT-AC86U + Merlin + Acasis DT-S2 (1TB RAID1)
|
| |
|
|
| cshogun |
Dodano 06-08-2007 00:35
|
User
Posty: 66
Dołączył: 06/06/2007 23:57
|
Wpisz w Administration/Scripts/Firewall taki skrypt;
iptables -I FORWARD -p tcp --dport 3001 -j DROP
iptables -I FORWARD -p tcp --dport 3001 -m iprange --src-range 192.168.3.100-192.168.3.254 -j ACCEPT
w miejsce "192.168.3.100-192.168.3.254" wpisz zakres adresów z którego u Ciebie chcesz zezwolić administrację. Ten skrypt wytnie całą komunikację na port 3001 z adresów innych niż wskazane. Jeżeli chcesz być dokładniejszy to podaj ip tego serwera i napiszę skrypt wycinający komunikacje TCP/3001 tylko na to ip.
Po wpisaniu skryptu naciśnij save, a potem save w "Advanced/Firewall"
sprawdź czy działa i daj znać na forum. |
| |
|
|
| feszt |
Dodano 06-08-2007 19:10
|
User
Posty: 63
Dołączył: 10/11/2006 16:01
|
@cshogun
scrypt nie działa  , dalej można otworzyć stronke w przeglądarce.
Wpisałem:
iptables -I FORWARD -p tcp --dport 3019 -j DROP
iptables -I FORWARD -p tcp --dport 3019 -m iprange --src-range 192.168.1.101 -j ACCEPT
najpierw jednak zmieniłem port na serwerze na 3019
możliwe że jakiś błąd zrobiłem
Asus RT-AC86U + Merlin + Acasis DT-S2 (1TB RAID1)
|
| |
|
|
| eRd |
Dodano 06-08-2007 19:32
|
OL Maniac
Posty: 1085
Dołączył: 11/03/2007 13:15
|
bo na tym skrypcie bedziesz mial dostep do tej stronki, ale zadne inne ip poza 192.168.1.101 (czyli jak domniemam Twoim), sprobuj zmienic ip swojego kompa na inne (wpisz na sztywno np z koncowka 102) i sprawdz czy nadal jest dostep  rozumiem ze tak sprawdziles ze nie dziala?
Sprobuj jeszcze zrobic restart routera...
Edytowany przez eRd dnia 06-08-2007 19:36
|
| |
|
|
| feszt |
Dodano 06-08-2007 22:23
|
User
Posty: 63
Dołączył: 10/11/2006 16:01
|
skryp działa, ale tylko przy zdalnym sterowaniu, czyli jak próbuje sie polączyć z komputera z innym ip zewnętrznym.
Wewnątrz sieci scrypt nie działa
Asus RT-AC86U + Merlin + Acasis DT-S2 (1TB RAID1)
|
| |
|
|
| cshogun |
Dodano 07-08-2007 14:21
|
User
Posty: 66
Dołączył: 06/06/2007 23:57
|
Może to głupie pytanie, ale jak dostajesz się poprzez to http ??
http://serwer czy http://serwer:3019.
Skrypt musi zadziałać wewnątrz sieci, bo to są reguły FORWARD, czyli dotyczące właśnie połączeń przechodzących przez router, ale do niego nie skierowanych.
>skryp działa, ale tylko przy zdalnym sterowaniu, czyli jak próbuje sie >polączyć z komputera z innym ip zewnętrznym.
Tzn z internetu, czy z LAN-u z IP zewnętrznym ?? A czasem ten Twój tunerek nie jest na IP zewnętrznym, bo to wszystko diametralnie zmienia ??
Wrzuć mi zrzut z Advanced/Routing, bo tak to będziemy rok dochodzić co jest (zakryj część adresu zewnętrznego jak chcesz). |
| |
|
|
| feszt |
Dodano 07-08-2007 17:00
|
User
Posty: 63
Dołączył: 10/11/2006 16:01
|
Witam
do cardservera łącze sie przez http://192.168.1.100:3019 z sieci LAN oraz z neta(port 3019 jest przekierowany na IP 192.168.1.100): http://85.xxx.xxx.xxx:3019
Advanced routing:
213.25.2.xxx * 255.255.255.255 0 ppp0
192.168.1.0 * 255.255.255.0 0 br0 (LAN)
127.0.0.0 * 255.0.0.0 0 lo
default 213.25.2.xxx 0.0.0.0 0 ppp0
Skryp działa jak łącze sie z internetu (blokuje otwieranie strony http). Dodam że jak wyłącze skrypt to moge sie spokojnie połączyć z neta. Tunek posiada IP wewnętrzne 192.168.1.100
Moje IP: 192.168.1.101
Zależy mi żeby użytkownicy o numerze IP 192.168.1.102 - 192.168.1.104 nie mieli możliwości dotępu na IP tunka na porcie 3019.
To chyba już wszystko wyjaśnia.
Asus RT-AC86U + Merlin + Acasis DT-S2 (1TB RAID1)
|
| |
|
|
| obsy |
Dodano 07-08-2007 17:43
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
To znaczy, że ten tuner jest podłączony do switcha, tak jak reszta komputerów? Jeżeli tak, to blokowanie na ruterze nic nie da, bo fizycznie przez switch przecież przechodzi.
|
| |
|
|
| cshogun |
Dodano 08-08-2007 16:32
|
User
Posty: 66
Dołączył: 06/06/2007 23:57
|
No właśnie - to jest dobre pytanie - czy tuner jest podłączony do wbudowanego switcha w WRT-ku, czy do jakiegoś innego switcha razem z uzytkownikami ??
Trzeba podłączyć tuner bezpośrednio do WRT, ale to może też nic nie dać, jeśli switch wbudowany w WRT będzie sie zachowywał podobnie, czyli jak niezależne urządzenie. W takim wypadku należy na tunerze ustawić adres z zupełnie innego zakresu adresacji, żeby wymusić routing - masz tu 2 wyjścia:
- ustawić jakiś nowy zakres i dopisać w tabeli routingu regułę przekierowującą tą adresację na porty LAN (tuner podłącz na LAN), np:
192.168.2.0 * 255.255.255.0 0 br0 przy adresie tunera 192.168.2.1;
- ustawić adres zewnętrzny od providera (jeśli dostałeś kilka) i podłączyć tuner do portu WAN, tu nie musisz zmieniać reguł routingu.
Skrypt zostaje ten sam, ale mozna go ulepszyć o adres docelowy jak już zdecydujesz się na jakąś opcję.
Edytowany przez cshogun dnia 08-08-2007 16:37
|
| |
|
|
| feszt |
Dodano 08-08-2007 18:28
|
User
Posty: 63
Dołączył: 10/11/2006 16:01
|
Co ma do tego switch?? Switch jako tako w sieci nie istnieje, jest to użądzenie które tylko fizycznie masz na biurku, a poza tym jest to tylko i wyłącznie przełącznik!!!
Oczywiście ja switcha nie mam, a moje łacze to Neo i niestety mam tylko jedno IP zewnętrzne.
Asus RT-AC86U + Merlin + Acasis DT-S2 (1TB RAID1)
|
| |
|
|
| cshogun |
Dodano 09-08-2007 22:52
|
User
Posty: 66
Dołączył: 06/06/2007 23:57
|
Przełącznik i switch to to samo, a co do zasad jego działania odsyłam tutaj: http://en.wikipedia.org/wiki/Network_switch
Typowy switch działa w warstwie drugiej OSI (http://en.wikipedia.org/wiki/OSI_model), a IP to warstwa trzecia, używana tylko na początku do skojarzenia adresów MAC z IP za pomocą protokołu ARP, potem switch komunikuje sie już tylko po MAC-ach.
Masz 4-portowy switch wbudowany w WR850G. De-facto masz jeszcze hub (czyli koncentrator) na radiu, bo tym właśnie jest AP.
Tak czy inaczej, ustaw tak jak pisałem:
>ustawić jakiś nowy zakres i dopisać w tabeli routingu regułę >przekierowującą tą adresację na porty LAN (tuner podłącz na LAN), np:
>192.168.2.0 * 255.255.255.0 0 br0 przy adresie tunera 192.168.2.1;
Jeżeli tuner jest na radiu a nie po kablu, będzie tak samo, bo Tomato traktuje je jako połączone logicznie ze switchem w LAN. Nie zapomnij o wpisaniu również adresu routera w tunerze.
Nie jestem pewien dlaczego nie działa - ale prawdopodobnie właśnie dlatego że ruch w ogóle nie dochodzi do routera (i iptables), tylko załatwiany jest przez switch (lub AP) w sieci lokalnej. I dlatego mówię o zmianie adresacji na tunerze, bo wtedy ruch na pewno przejdzie przez reguły iptables. Z tego właśnie powodu z zewnątrz wszystko ci działa - bo jest inna adresacja niż tunera i ruch jest routowany.
Mógłbym przetestować i powiedzieć na 100%, ale nie mam chwilowo czasu, dlatego sprawdź to sam doświadczalnie... i nie wkurzaj się, bo możesz nie wiedzieć wszystkiego. |
| |
|
' target='_blank'>Link
