• Zarejestrowany: 2012-05-27
  • Posty: 180

Temat: blokowanie portów po lan

Witam

Posiadam AP na nim skonfigurowane WIFI z wyłączonym DHCP. Wgrany najnowszy Gary. Chciałbym na tej sieci wifi ukryć możliwość przeglądania zasobów udostępnianych przez inne komputery.

w sekcji /etc/firewall.user wpisuję odpowiednie wpisy które mi jednak nie funkcjonują:

iptables -I INPUT -p tcp -d 192.168.3.0/24 --dport 445 -j DROP
iptables -I INPUT -p udp -d 192.168.3.0/24 --dport 445 -j DROP

iptables -I INPUT -p tcp -d 192.168.3.0/24 --dport 2049 -j DROP
iptables -I INPUT -p udp -d 192.168.3.0/24 --dport 2049 -j DROP

proszę o info gdzie popełniam błąd? firewalla uruchamiam ponownie. Podsieć prawidłowa.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

Generalnie się nie da w ten sposób co podałeś, bo komputery podłączone są przesz switch (tak?) więc router nie bierze udziału w tym. Chyba że bez przewodowo, wtedy FORWARD jak już.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

Sposób podłączenia: router drytek -> AP na garym z wyłączonym DHCP, podłączonym przewodowo do Dryteka.

Czyli reguły musiałbym ustawić na dryteku jak już ?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

A klienci jak i przez co są połączeni?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

Cel mam taki wykorzystać urządzenie AP Tl-WA801 jako urządzenie emitujące sieć dzięki której user który podłączy się do tego AP nie może przeglądać udostępnionych zasobów. Klient ma się podłączyć właśnie do tego AP który ogranicza usługi

6 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

a jeśli zrobiłbym na nim nowego VAP'a Wlan-0 ? i zastosował iptables jak w projekcie sieci gościnnej?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

Tzn tych bezprzewodowych chcesz ograniczyć. Więc dodaj regułę na FORWARD nie input.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

zanim zapytałem na forum sprawdziłem także regułę pod kątem:

iptables -I FORWARD -p tcp -d 192.168.3.0/24 --dport 445 -j DROP
iptables -I FORWARD -p udp -d 192.168.3.0/24 --dport 445 -j DROP

iptables -I FORWARD -p tcp -d 192.168.3.0/24 --dport 2049 -j DROP
iptables -I FORWARD -p udp -d 192.168.3.0/24 --dport 2049 -j DROP

i właśnie dalej mogę mogę przeglądać udostępnione udziały SAMBA, NFS ... na innych komputerach, będąc podłączonym przez tego AP w którym te reguły są wpisane w /etc/firewall.user

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

Samba ma jeszcze 137,138,139

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

dzięki wielki sprawdzę jutro i dam znać. Jednak na forum opisałem tylko część portów i porty od 137 do 139 raczej poblokowałem ale zweryfikuję to jeszcze raz. W każdym razie dzięki za chęć.

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

Sprawdź czy w ogóle Ci działa blokada - wpisz regułę bez portów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

czołem

Sprawdziłem regułę bez portów i sytuacja wygląda tak że nadal mam dostęp do wszystkiego. Wydaje mi się że problem występuję dlatego że AP nie ma WAN tylko LAN. Ustawiałem reguły na interfejs WLAN i także wynik niezadawalający.

Czy któryś z szanownych użytkowników lub Pan Panie Cezary ustawiał iptables na Acces Poincie w konfiguracji podanej powyżej tak aby poblokować na nim konkretne porty?

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

Gdzie jest podłączony klient którego chcesz blokować i gdzie jest podłączony komputer którego zasoby chcesz blokować?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

Klient podłączony do tego AP na którym te iptables wpisuje. Komputer podłączony do głównego routera który nadaje DHCP (Drytek). Jeśli to istotne klient ma ip 192.168.3.99.

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,860

Odp: blokowanie portów po lan

To regułę zrób na Dryteku w takim przypadku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez prorock

  • Zarejestrowany: 2012-05-27
  • Posty: 180

Odp: blokowanie portów po lan

Drytek jest bardzo newralgicznym urządzeniem. Każda nieudana przeze mnie próba wynikająca z moich nie umiejętności może spowodować niechciane dla mnie "kuku" i powód do np. wyjazdu do klienta odległego set kilometrów. Dlatego na tym AP mógłbym eksperymentować i wysłać go już skonfigurowanego. Dlatego zależało mi na ograniczeniu na tym AP.