• Zarejestrowany: 2018-04-09
  • Posty: 9

Temat: dodatkowe argumenty do iptables, wyjście na jeden konkretny IP w WAN

Witam wszystkich,

Jako „świeżak” na forum postanowiłem się przywitać i pogratulować obszernej wiedzy, jaką się dzielicie.
Proszę o pomoc przy ustawieniu w „Zapora - Reguły ruchu” LuCI / OpenWrt Chaos Calmer 15.05
Utworzyłem nową regułę, dla konkretnego IP w LAN i zablokowałem cały ruch wychodzący do WAN, ale dla jednego IP w WAN chciałbym zrobić wyjątek i pozwolić na połączenie.
Próbowałem z dodatkowymi argumentami dla iptables, ale niestety za cienki jestem.

/etc/config/firewall

config rule                                      
       option src 'lan'                         
       option dest 'wan'                     
       option name 'Blokada_CNC'        
       option proto 'all'                       
       option src_mac 'xx:xx:xx:xx:xx:xx'    
       option src_ip '192.168.1.132'            
       option target 'REJECT'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,246

Odp: dodatkowe argumenty do iptables, wyjście na jeden konkretny IP w WAN

iptables -I FORWARD -p tcp -s 192.168.1.132 -j REJECT
iptables -I FORWARD -p tcp -s 192.168.1.132 -d X.X.X.X -j ACCEPT

lub

iptables -I FORWARD -p tcp -s 192.168.1.132 ! -d X.X.X.X -j REJECT

?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: dodatkowe argumenty do iptables, wyjście na jeden konkretny IP w WAN

Niestety, po wpisaniu tych reguł dostaje dostęp do całego WAN

config rule
option src 'lan'
option dest 'wan'
option name 'Blokada_CNC'
option proto 'all'
option src_mac 'xx:xx:xx:xx:xx:xx'
option src_ip '192.168.1.132'
option target 'REJECT'
option extra 'iptables -I FORWARD -p tcp -s 192.168.1.132 -j REJECT, iptables -I FORWARD -p tcp -s 192.168.1.132 -d 104.104.xx.xx -j ACCEPT'

config rule
option src 'lan'
option dest 'wan'
option name 'Blokada_CNC'
option proto 'all'
option src_mac 'xx:xx:xx:xx:xx:xx'
option src_ip '192.168.1.132'
option target 'REJECT'
option extra 'iptables -I FORWARD -p tcp -s 192.168.1.132 ! -d 104.104.xx.xx -j REJECT'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,246

Odp: dodatkowe argumenty do iptables, wyjście na jeden konkretny IP w WAN

Ale ci zrobiłeś najlepszego? To jest reguła iptables do wykonania w konsoli tak po prostu lub wpisania do /etc/firewall.user a nie jako "extra" w uci. Przecież to co zrobiłeś jest kompletną bzdurą z punktu widzenia składni.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: dodatkowe argumenty do iptables, wyjście na jeden konkretny IP w WAN

Racja źle zrozumiałem LUCI, zrobiłem w konsoli, i pomogło. Dziękuje