1

Temat: Blokowanie połączenia w WAN<>LAN dla określonego urządzenia

witam,

chciałbym uzyskać efekt całkowitej blokady w ruchu WAN dla określonej stacji w LAN z pewnymi wyjątkami.
na stronie https://eko.one.pl/?p=openwrt-blokady# … nychzasobw

mamy przykład całej blokady

Stała
Tworzymy po prostu odpowiednią regułę w firewallu OpenWrt korzystając z uci:


    # uci set firewall.mac010203040506=rule
    # uci set firewall.mac010203040506.src='lan'
    # uci set firewall.mac010203040506.dest='wan'
    # uci set firewall.mac010203040506.src_mac='01:02:03:04:05:06'
    # uci set firewall.mac010203040506.target='REJECT'
    # uci commit firewall
    # /etc/init.d/firewall restart

natomiast jak to rozwinąć by dodać wyjątki? oraz czy
uci set firewall.mac010203040506 możemy zmienić na uci set firewall.IP192.168.1.10   ??

co chcę osiągnąć?
chciałbym zablokować wszelką komunikację z TV lub do TV z WAN za wyjątkiem np domen *netflix* lub *hbo*

dziękuję za podpowiedz.

2

Odp: Blokowanie połączenia w WAN<>LAN dla określonego urządzenia

Chyba nie zrozumiałeś jak to działa. Przecież to są regułki iptables. mac010203040506 czy IP192.168.1.10 to tylko nazwa sekcji, może się to nazywać alamakota i będzie też dobrze. Kluczem jest opcja src_mac który u ciebie ma wyglądać jako src_ip 192.168.1.10. Tylko dlaczego chciałbyś blokować po IP zamiast po adresie mac?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3 (edytowany przez szymek 2020-11-08 21:00:41)

Odp: Blokowanie połączenia w WAN<>LAN dla określonego urządzenia

Witam,

Ok, a czym wyodrębnić w nazwie sekcji poszczególne domeny docelowe dla których ruch idzie w obie strony?
Czy można zadać regułę części domeny np netflix hbogo  itp gdyż zapewne przed daną domeną będzie jakiś serwer s1.netflix.com itp



    # uci set firewall.telewizor=rule
    # uci set firewall.telewizor.src='lan'
    # uci set firewall.telewizor.dest='wan'
    # uci set firewall.telewizor.src_ip='192.168.1.20'
    # uci set telewizor.target='REJECT'
    # uci commit firewall
    # /etc/init.d/firewall restart

4

Odp: Blokowanie połączenia w WAN<>LAN dla określonego urządzenia

Sam przecież zacytowałeś poradnik. Miałeś tam poniżej blokowanie facebooka a ty chcesz odwrotnie. Regułkę możesz zanegować dodając ! w opcji (w tym przypadku ipset). Wykorzystujesz do tego dnsmasq, chyba że wiesz dokładnie co chcesz zablokować/odblokować, wtedy podajesz dokładnie co tam chcesz. Poszukaj w sieci informacji na temat iptables.

I pamiętaj że netflix czy hbo to pewnie nie tylko domena netflix tylko masa innych rzeczy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: Blokowanie połączenia w WAN<>LAN dla określonego urządzenia

Tak jak pisałem, chciałbym by wszystko było blokowane co nie jest dozwolone.

6

Odp: Blokowanie połączenia w WAN<>LAN dla określonego urządzenia

A ja ci napisałem jak to zrobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.