Openwrt - ips do roteador em diferentes sub-redes acessíveis por padrão?

Navegue suas respostas
0

Eu tenho um roteador Openwrt na configuração padrão mais essas alterações: Rede Lan - 192.168.1.0/24 Rede de administração - 193.168.2.0/24 Rede Wan - 192.168.0.0/24

Iptables

Negação de encaminhamento padrão

Admin + Lan

Reencaminhar Negar

Entrada / Saída Permitir

Lan para Wan Forward Allow

Wan

Negar entrada

Permitir saída

Mascaramento

Dropbear

Ouça apenas na interface administrativa

EDITAR: O switch é realmente dividido em 3 segmentos com Vlans não marcados. Wan, Lan, Admin. Portanto, as diferentes interfaces não estão todas no mesmo dispositivo da Camada 2.

Quando conecto meu laptop à interface lan, não consigo acessar dispositivos na zona de administração conforme o esperado. Mas se for um IP do próprio roteador, posso alcançá-lo em todas as sub-redes. Assim, posso conectar-me a serviços em todos os IPs do roteador. 192.168.0.2, 192.167.1.1, 192.168.2.1

Se eu fizer o ssh [email protected] - > conexão recusada

Se eu fizer o ssh [email protected] - > Eu recebo uma conexão de trabalho ssh.

Eu não quero o serviço ssh acessível da Lan. Ou, nesse caso, nenhum serviço de rede em outra sub-rede além do pretendido. O que sinto falta de fazer com que essa distinção de zona funcione mesmo nos próprios IPs dos roteadores?

Eu usei uma regra do Iptables para bloquear tudo, desde o lan até 192.168.2.1. Isso funciona, mas quero uma configuração que impeça isso para todas as futuras redes.

    
por Bitshitch 13.04.2017 / 15:24

1 resposta

0

Eu acho que você deveria tentar isso, apenas editar no arquivo / etc / config / firewall
Antes 

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

Depois 

config zone
    option name 'lan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT' 
    option network 'lan'    

config rule
    option target 'ACCEPT'
    option proto 'tcp udp'
    option dest_port '53'
    option name 'lan DNS'
    option src 'lan'

config rule
    option enabled '1'
    option target 'ACCEPT'
    option name 'lan DHCP'
    option src 'lan'
    option proto 'udp'
    option dest_port '67-68'

Isso ajudará você a rejeitar o shh para o seu roteador pela lan.

    
por 15.04.2017 / 07:56

Tags

DD-WRT: Como posso adivinhar via shell CLI a qualidade do link de cada cliente associado ao wifi? Como ativar o AMD-V no Acer Aspire E1-522?