• Zarejestrowany: 2014-09-27
  • Posty: 168

Temat: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Witam

Posiadam router ER8411. Skonfigurowany jest w ten sposób że posiada vlan 10 z podsiecią 192.168.10.0/24. Serwer www routera dostępny jest pod adresem 192.168.10.1. Chciałbym zablokować te porty 80,443,22 żeby żądane urządzenie nie mogło się do niego dobijać z tej sieci. Niestety GUI ACL nie posiada takich opcji. Zalogowałem się na router dodałem następujące dwa wpisy do /etc/firewall.user

iptables -A INPUT -s 192.168.10.0/24 -d 192.168.10.1 -j DROP
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.10.1 -j DROP

i wykonałem reload firewalla
/etc/init.d/firewall reload

Jednak nie działa to w ogóle.
Ktoś mógłby mi pomóc ?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

iptables -I INPUT -s 192.168.10.0/24 -d 192.168.10.1 -j DROP

Możesz to nawet tymczasowo wpisać z ręki w konsoli.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

to samo, curl 192.168.10.1 z maszyny zwraca strone

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

A na pewno dobijasz sie z 192.168.10.0/24?

iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez mati2762 (edytowany przez mati2762 2023-03-01 15:03:58)

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

jak wbiłem regułę iptables -I INPUT -p tcp --dport 80 -j DROP to mnie odcięło, musiałem go zrestartować. smile
Tak dobijam się z tej sieci

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

W sumie chciałeś zablokować to masz...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

jasne, przynajmniej wiadomo że działa

8 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

mati2762 napisał/a:

jak wbiłem regułę iptables -I INPUT -p tcp --dport 80 -j DROP to mnie odcięło, musiałem go zrestartować. smile
Tak dobijam się z tej sieci

Coś dziwnego, że nie działało blokowanie po adresach.
Może byłeś w tunelu i wychodził tamtym adresem?

A już dziwne jest to, że wpisując regułę na port 80 odcięło Cię od routera...
Chyba że ustawiłeś SSH na porcie 80. Musiałeś mieć dziwny konfig.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

9 Odpowiedź przez mati2762 (edytowany przez mati2762 2023-03-01 19:01:21)

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Nie odcięło mi SSH tylko web service, sprawdzam to po pulpicie zdalnym z tej maszyny.
ta reguła działa
iptables -I INPUT -p tcp --dport 80 -s 192.168.10.0/24 -j DROP

thx za pomoc Cezary

10 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

jak wrzucę regułki do /etc/firewall.user to po restarcie plik jest pusty a regułki nie działają. czy /etc/rc.local jest odpowiednim miejscem ?

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Nie, bo on się wykomuje tylko po starcie systemu a nie firewalla. Ponad to nie powinno nic z niego znikać.

W /etc/firewall.user to umieść.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Po restarcie sprzętu zawartość z pliku znika

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Pokaż wynik polecenia mount

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

/dev/root on /rom type squashfs (ro,relatime)
devtmpfs on /rom/dev type devtmpfs (rw,relatime,size=1950640k,nr_inodes=487660,mode=755)
proc on /proc type proc (rw,noatime)
sysfs on /sys type sysfs (rw,noatime)
tmpfs on /tmp type tmpfs (rw,nosuid,nodev,noatime)
root on /tmp/root type tmpfs (rw,noatime,mode=755)
overlayfs:/tmp/root/root on / type overlay (rw,noatime,lowerdir=/,upperdir=/tmp/root/root,workdir=/tmp/root/work)
/dev/mtdblock13 on /tmp/userconfig type jffs2 (rw,sync,relatime)
tmpfs on /dev type tmpfs (rw,relatime,size=512k,mode=755)
devpts on /dev/pts type devpts (rw,relatime,mode=600,ptmxmode=000)
debugfs on /sys/kernel/debug type debugfs (rw,noatime)
nodev on /mnt/huge type hugetlbfs (rw,relatime,pagesize=2M)
tmpfs on /tmp/run/netns type tmpfs (rw,nosuid,nodev,noatime)
nsfs on /tmp/run/netns/vnet type nsfs (rw)

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Co to za system? Masz overlay w ramie,  chyba ustawienia  są trzymane na mtd13 które jest podmontowane w /tmp/userconfig

To nie jest standardowe openwrt, to jakiś fork zrobiony przez producenta.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Tak to jest TP-Link, Interfejs ACL ma bardzo ograniczony, nie da się tego wyklinać

17 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

wrzuciłem mu do /tmp/userconfig/etc/firewall.user po restarcie jest w pliku /etc/firewall.user, ale reguła nie działa, jak z palca ją wklepię to działa sad

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

To nie jest openwrt. To jest przerobione przez tplinka openwrt, więc sprawdź jak ten system działa i co masz przerobić że zadziałało to co chcesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Czy poniższa reguła w  config/firewall jest równoznaczna z iptables -I INPUT -p tcp --dport 80 -s 192.168.10.0/24 -j DROP ?

config rule
    option src_ip    '192.168.10.0/24'            
    option dest_port    '80'        
    option proto    tcp
    option target       REJECT

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Prawie.

config rule
    option src lan
    option src_ip    '192.168.10.0/24'           
    option dest_port    '80'       
    option proto    tcp
    option target  DROP

Jest najbliższe w/w poleceniu, choć nie robi tego w INPUT a w łańcuchu zone_lan_input.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

thx, jutro będę testował. tak btw to sam sie zdziwiłem ze pod spodem jest OpenWRT na czystym TP-linku.

22 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

dodałem wpis zrobiłem /etc/init.d/firewall reload, nie działa sad

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Dodaj to /etc/config/firewall

config include
    option path '/etc/firewall.user'
    option reload '1'
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez mati2762

  • Zarejestrowany: 2014-09-27
  • Posty: 168

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

już miałem taką regułkę tylko bez reload, jak robie restart to leci sporo błędów 

root@ER8411:/etc/init.d# /etc/init.d/firewall restart
uci: Entry not found
iptables v1.6.2: Couldn't load target `zone_wan_openvpn':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
iptables: Chain already exists.
iptables: Chain already exists.
iptables: Chain already exists.
uci: Entry not found
uci: Entry not found
rmc restart
ip6tables v1.6.2: The protocol family of set VMe is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables v1.6.2: The protocol family of set VMe is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables v1.6.2: The protocol family of set Me is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables v1.6.2: The protocol family of set VMe is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables v1.6.2: The protocol family of set Me is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.
ip6tables v1.6.2: The protocol family of set VMe is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Firewall na OpenWrt BARRIER BREAKER [ER8411]

Błędy wynikają ze złych wpisów w firewalli, pytaj tplinka dlaczego tak zrobił.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona