DDWRT - Interface virtual - comando de firewall - RDP

1

Eu exibi o DD-WWRT no meu roteador Linksys e2500v3.

Adicionei a interface virtual para criar uma rede Wi-Fi de convidado que teria acesso à Internet, mas não à rede privada ou ao roteador.

Neste ponto, a rede guest pode acessar a Internet, mas quando tento RDP de um PC na minha rede privada (fora do roteador ddwrt) para outro PC na rede privada (que recebe seu IP do roteador ddwrt), não funciona.

Eu reduzi isso a este comando:

    iptables -t nat -I POSTROUTING -o br0 -j SNAT --to 'nvram get lan_ipaddr'

Quando este comando é comentado ou excluído, a rede de adivinhação não tem mais acesso à Internet, mas eu posso RDP em um PC conectado à rede privada do roteador ddwrt de outro PC na minha rede privada (independentemente da sub-rede). / p>

Quando o comando está ativo, a rede de convidados tem internet, mas não pode RDP.

Configuração no roteador DDWRT:

WAN: disabled
LAN IP: 192.9.202.250 (was an available IP on my network)
DHCP range:  192.9.202.160-192.9.202.165
Private WIFI: wl0
Guest WIFI: wl0.1
Created bridge: br1 (IP 192.168.5.100)
Assigned bridge: br1 assigned to wl0.1
DNSMasq:

    #Enables DHCP on br1
     interface=br1
    #Set the default gateway for br1 clients
     dhcp-option=br1,3,192.168.10.100
    #Set the DHCP range and default lease time of 24 hours for br1 clients
     dhcp-range=br1,192.168.10.101,192.168.10.105,255.255.255.0,24h

Firewall commands:

    #Allow guest bridge access to Internet
    iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
    iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

    #Block access between private and guest
    iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
    iptables -I FORWARD -i br1 -d 'nvram get lan_ipaddr'/'nvram get lan_netmask' -m state --state NEW -j DROP

    #NAT to make Internet work
    iptables -t nat -I POSTROUTING -o br0 -j SNAT --to 'nvram get lan_ipaddr'

    #Block guest access to router services
    iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

O PC alvo é 192.9.202.165

O PC de origem é 192.9.202.140 (esse IP é fornecido pelo roteador principal, não pelo roteador ddwrt)

    
por user429571 19.03.2015 / 15:12

0 respostas