• Zarejestrowany: 2012-09-20
  • Posty: 48

Temat: Czy jest cos w rodzaju access list na switchu?

Witam,
Mam takie zagadnienie - mam TV w sieci LAN podpięty do openwrt, który idzie dalej do routera adsl Neostrady i między nimi tez jest ten sam LAN. Na openwrt mam dhcp i DNS. Chcialbym czasami zablokowac dostep TV do sieci. Najprościej byłoby położyć port ale Openwrt jest na WDR4300v1 ktory ma niestety ograniczone funkcje switcha i nie moge tego zrobic. Nie mam routowania wiec firewall odpada.
Mam w zanadrzu 2 opcje -
1. przerzucenie tv na jakis vlan ale ponieważ uzywam tam mirroringu, jakies sterowanie z Openhaba, boje sie ze przy routowaniu cos przestanie działać
2. Blokada dostepu na routerze adsl (cos tam ma, ale ze to oryginalny tplink to działa troche topornie)
Przydalaby sie jakas access lista czy cos tego typu.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,901

Odp: Czy jest cos w rodzaju access list na switchu?

Jak masz wszystko w lanie to nie masz jak tego zrobić. Kup switch zarządzalny który ma funkcje których potrzebujesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez c#Hunter

  • Zarejestrowany: 2017-10-16
  • Posty: 59

Odp: Czy jest cos w rodzaju access list na switchu?

Moim zdaniem da rade. Jak masz wszystko w tym samym LAN to jako gateway w telewizorze wpisujesz adres openwrt lanowski. Wtedy wszystko co ma wyjść za LAN będzie przechodzić przez OpenWRT i normalnie dajesz regułe na firewall.

4 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Czy jest cos w rodzaju access list na switchu?

Moim zdaniem Cezary ma rację skoro...
nawet autor tematu przyznaje że

witek_1308 napisał/a:

...idzie dalej do routera adsl Neostrady i między nimi tez jest ten sam LAN.... Nie mam routowania wiec firewall odpada....

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

5 Odpowiedź przez gegu

  • gegu
  • Użytkownik
  • Nieaktywny
  • Skąd: Ruda Śląska
  • Zarejestrowany: 2016-12-04
  • Posty: 261

Odp: Czy jest cos w rodzaju access list na switchu?

Jeśli tv jest wpięty bezpośrednio przez pudło z openwrt (do jednego z portów), to ebtables powinno zadziałać na bridge'u routera. Nie do końca rozumiem, co masz na myśli pisząc "zablokowac dostep TV do sieci", ale pobaw się tym i zobacz.

rt-ac56u tomato, 2x wdr3600@16MB/u-boot pepe2k/lede, 2x wt3020f@16MB/e3372s/gargoyle/lede, 3x wr841n@16MB/64MB/u-boot pepe2k/lede, rt-n18u tomato, 2x rb750gr2 ROS, 3x rb750gr3 ROS, Unifi ap ac lr

6 Odpowiedź przez c#Hunter (edytowany przez c#Hunter 2020-11-14 22:00:53)

  • Zarejestrowany: 2017-10-16
  • Posty: 59

Odp: Czy jest cos w rodzaju access list na switchu?

gegu napisał/a:

Jeśli tv jest wpięty bezpośrednio przez pudło z openwrt (do jednego z portów), to ebtables powinno zadziałać na bridge'u routera. Nie do końca rozumiem, co masz na myśli pisząc "zablokowac dostep TV do sieci", ale pobaw się tym i zobacz.

Jeśli autor chce odciąć telewizor od internetu to zadziała jak najbardziej bo OpenWRT forwarduje pakiety IP. CZyli wpisujesz jako gateway w TV adres OpenWRT, TV widzi adres spoza LAN i pcha go do swojego gateway czyli OpenWRT. OpenWRT dostaje pakiet IP z destination adress spoza sieci LAN to go forwarduje na swojego gatewaya. I w tym momencie możesz dać regułe na firewall:

config rule
        option name 'test'
        list src_ip 'TV IP tu wpisać'
        option target 'DROP'
        option dest '*'
        option src '*'
        list proto 'all'
        list dest_ip '2.57.137.5'


Sprawdziłem przed chwilą i oczywiscie działa. Cały ruch do 2.57.137.5 wycięty.

Edit: Akurat mam u siebie bardzo podobną konstrukcję bo postawiłem OpenWRT na wirtualnej maszynie na QNAP i stoi sobie w LAN nie robiąc WAN tylko filtruje nim różne rzeczy i mam tam tunele VPN i routingi po nich. Generalnie to jeśli OpenWRT robi za serwer DNS to defaultowo rozsiewa swój adres jako gateway i wszystko co chce wyjść poza LAN gada przez OpenWRT. Czyli możesz mieć praktycznie pełną funkcjonalność firewall ale działa tylko w jedną stronę tzn w stronę internetu bo z powrotem idzie już z pominięciem OpenWRT oczywiście.