Configurações do OpenWRT para bloquear o acesso a dispositivos em sub-rede local separada

Navegue suas respostas
0

Eu tenho uma situação na qual tenho que criar uma sub-rede isolada que tenha acesso à Internet por meio de outra sub-rede. A imagem pode mostrar mais claramente. 

                                  192.168.5.1
                    LAN               LAN
Internet  +----------+       +----------+      +--------+
     <----+ Router 1 +-------+ Router 2 +------+Device 2|
          | No access|       | OpenWRT  |      |        |
          +------+---+       +----------+      +--------+
              LAN|          WAN                192.168.5.5
                 |       192.168.1.20
            +----+---+
            |Device 1|
            |        |
            +--------+
         192.168.1.50-100

Preciso que Device 2 não tenha acesso a nenhum dispositivo na rede 192.168.1.0, mas ainda tenha acesso à Internet.

Eu não posso tocar em Router 1 e isso precisa ser alcançado pelas configurações em Router 2 .

As configurações padrão em /etc/config/firewall encaminham tudo de LAN para WAN, o que resulta em que o Dispositivo 1 possa executar o ping do Dispositivo 2.

Eu tentei limitar isso com a seguinte regra: 

config rule                                 
        option src lan                                     
        option dest wan                         
        option dest_ip 192.168.1.50            
        option target REJECT

Mas isso não funcionou. Você pode por favor me apontar em uma direção correta?

Além de definir configurações de firewall, isso poderia (conceitualmente)  ser hackeado por roteamento estático, definindo todas as rotas para 192.168.1.0/24 para algum ponto falso?

    
por TheMeaningfulEngineer 19.01.2018 / 08:20

1 resposta

0

Em geral, você atribui sub-redes de rede com base no número de bits. Por exemplo, de 192.158.1.64 para 192.158.1.128. Sua regra, no entanto, deve bloquear o endereço .50. Se você precisar bloquear uma sub-rede, adicione o número de bits, como no exemplo abaixo: 

config rule
    option name     example rule
    option src      lan
    option family   ipv4
    option proto    all
    option dest     wan
    option dest_ip  192.168.1.64/26
    option target   REJECT

No seu caso: eu provavelmente bloquearia a rede 192.168.0 / 24 completa.

    
por 19.01.2018 / 19:33

Tags

LXD init não funciona no debian Mover uma subpasta do Dropbox