1 Temat przez Matt

  • Matt
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-01-07
  • Posty: 64

Temat: Blokada dostępu do sieci LAN

Witam. Taki niewielki problemik. Routerek to WDR3600 (OpenWrt 19.07-SNAPSHOT, r10532-cf3b50377e)
Chciałbym aby jedno z urządzeń w sieci, nie miało całkowicie dostępu do innych urządzeń poza dwoma.

-Sieć: 192.168.1.0/24
-Router: 192.168.1.1

-Urządzenie Pierwsze: 192.168.1.100
-Urządzenie Drugie: 192.168.1.20
-Urządzenie Trzecie: 192.168.1.21

Chciałbym aby komunikacja Pierwszego urządzenia była możliwa tylko z Drugim i Trzecim, a żadnym innym w tej sieci już nie (routerem również).

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,031

Odp: Blokada dostępu do sieci LAN

Nie da się tak prosto - komunikacja w obrębie tej samej sieci idzie tylko po switchu, nie przechodzi nawet przez cpu. Musisz wydzielić to  urządzenia do innej podsieci, wtedy sobie zablokujesz jak chcesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Matt

  • Matt
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-01-07
  • Posty: 64

Odp: Blokada dostępu do sieci LAN

Czyli muszę zrobić oddzielną sekcję w pliku "/etc/config/network" np. config interface 'lan2' i tam zrobić sieć np. "192.168.2.0/24"
i wtedy urządzenie Pierwsze daje do tej sieci, a w firewall'u ustawiam, aby możliwa była komunikacja tylko:
Pierwsze <-> Drugie
Pierwsze <-> Trzecie

Dobrze rozumiem?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,031

Odp: Blokada dostępu do sieci LAN

Tak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Matt

  • Matt
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-01-07
  • Posty: 64

Odp: Blokada dostępu do sieci LAN

No dobra. Mam to - jest oddzielna sieć (192.168.2.0/24) dla tego urządzenia Pierwszego (192.168.2.2), teraz tylko kwestia ustawienia firewall'a żeby odpowiednie urządzenia się widziały - niestety nie wiem jak to ustawić sad

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,031

Odp: Blokada dostępu do sieci LAN

iptables -I FORWARD -s 192.168.2.2 -d 192.168.1.20 -j ACCEPT
iptables -I FORWARD -d 192.168.2.2 -s 192.168.1.20 -j ACCEPT
iptables -I FORWARD -s 192.168.2.2 -d 192.168.1.21 -j ACCEPT
iptables -I FORWARD -d 192.168.2.2 -s 192.168.1.21 -j ACCEPT


Oczywiście nie robisz forwardingu pomiędzy lan a lan2, robisz także reject na forwarding w strefie lan2 w firewallu

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez Matt

  • Matt
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-01-07
  • Posty: 64

Odp: Blokada dostępu do sieci LAN

Strefa "lan2" w pliku /etc/config/firewall

config zone
        option name             lan2
        list   network          'lan2'
        option input            ACCEPT
        option output           ACCEPT
        option forward          REJECT

Wpisane reguły iptables z posta powyżej - i działa prawidłowo big_smile

Bardzo dziękuje Cezary za pomoc smile



Jako ciekawostkę chciałem sprawdzić jaka będzie szybkość przesyłania danych przez FTP w takiej konfiguracji wykorzystując wyżej wspomniany WDR3600.
Pomiędzy urządzeniami w sieci "lan" a "lan2" prędkość oscyluję około 50 MB/s - a obciążenie procesora routerka stale utrzymuje się na 100% podczas przesyłania.
Może komuś się ta informacja do czegoś przyda smile.