Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → iptables - kompilacja, niepoprawne działanie
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam
Używam OpenWrt 14.07
Przed kompilacją w Network —> Firewall —>
znaczę:
<*> iptables.............. IP firewall administration tool
<*> conntrack-tools....... Connection tracking userspace toolsiptables 1.4.21
po kompilacji nie działa blokowanie pinga:
iptables -A INPUT -p icmp -j DROPczy podczas kompilacji powinienem coś jeszcze dodać?
iptables -I INPUT -p icmp -j DROP
to samo - nie blokuje
iptables -L - pokazuje puste tablice
dla pewności zrobiłem
iptables -F
i to też nic nie zmieniło
Kiedy próbuję blokować w trakcie pingowania - nie blokuje nigdy.
Zauważyłem, że blokuje i to (nie zawsze) dopiero po przerwaniu pingowania i wznowieniu pinga
Jakie puste tablice? Skoro używasz openwrt to skąd masz puste tablice? Zmieniłeś firewall po swojemu?
To że nie blokuje dla istniejących połączeń to normalne.
jest to zmodyfikowane OpenWrt 14.07 (nie przeze mnie)
po restarcie rutera wygląda tak:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destinationCzyli w ogóle nie masz firewalla - nie ma nic, a polityki domyślne są na ACCEPT.
Które pingi chcesz zatrzymać? Bo jeszcze pomiędzy urządzeniami w lanie to się nie da, bo to przez cpu nie przechodzi (jeszcze zależy jaki układ). Jeżeli do wanu to na FORWARD a nie input, ale właśnie pokazałeś że wanu raczej nie masz. INPUT jeżeli chcesz zablokować pingi to tego konkretnego urządzenia.
chce zatrzymać ping z komputera do LAN (lct0)
na razie tylko testuje działanie iptables
to też nie działa:
iptables -A INPUT -i lct0 -p icmp -j DROPchyba coś jest nie tak z iptables
Jeżeli masz tam switcha to nie zatrzymasz, bo to w ogóle przez router nie przechodzi tylko przez sprzętowy switch.
Jest jeden lan (ethernet) i jeden wan (światło).
Nie sądzę żeby tworzyły sprzętowy switch.
Co to za urządzenie?
Tenda G103
Jednak tworzą sprzętowy switch, ale czy to na pewno ma wpływ?
Żeby reguła zadziałała to pakiet musi przejść przez iptables/routing itd. Zaś jeżeli wszystko jest w jednej podsieci (sprzętowo) to nie ma jak tego zablokować bo pakiet w ogóle nie leci przez cpu tylko jest odbierany bezpośrednio ze switcha. O ile faktycznie masz tak połączone.
Na oryginalnym oprogramowaniu Tendy (też opartym na OpenWrt 14.07)
dokładnie takie blokowanie ładnie działa.
Wniosek z tego, że to nie kwestia sprzętu tylko oprogramowania/konfiguracji.
Porównaj konfigurację sieci w oryginalne i w tym co masz. W szczególności jak jest z interfejsami i bridge.
wszystko przez linię:
net.netfilter.nf_conntrack_skip_filter=1
w pliku: /etc/sysctl.conf
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → iptables - kompilacja, niepoprawne działanie
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc