1 Temat przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Temat: Problem z blokowaniem dostępu do internetu.

Witam. Tak jak w temacie, mam w firewall dodane reguły do blokowania dostępu do internetu, ale internet nadal działa. Na wcześniejszych wersjach działało to bez problemu. Czy coś się zmieniło?
Linksys wrt3200acm - OpenWrt 24.10-SNAPSHOT r28627-0b392b925f

config defaults
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'
    option flow_offloading '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan6'
    list network 'wan'
    list network 'wg0'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    list network 'vpn'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'OpenVPN'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

config forwarding
    option src 'vpn'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'vpn'

config rule
    option src '*'
    option dest 'wan'
    option target 'REJECT'
    option name 'E.Lap'
    option stop_time '23:59:00'
    list proto 'all'
    option weekdays ' mon tue wed thu sun'
    option ac_enabled '0'
    option src_mac 'B8:EE:65:0D:D5:1C'
    option start_time '22:00:00'
    option enabled '0'

config rule
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option stop_time '23:59:00'
    option weekdays ' mon tue wed thu sun'
    option name 'E.t'
    option src_mac '02:F5:61:9C:7C:95'
    option start_time '22:00:00'
    option ac_enabled '0'
    option enabled '0'

config rule
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option src_mac '6E:8D:BF:EE:BF:77'
    option ac_enabled '1'
    option stop_time '23:59:00'
    option name 'T.t'
    option start_time '21:30:00'
    option enabled '1'

config rule
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option stop_time '23:59:00'
    option name 'T.lap'
    option src_mac '18:56:80:25:8B:AE'
    option start_time '21:30:00'
    option ac_enabled '1'
    option enabled '1'

config rule
    option ac_enabled '0'
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option name 'E.tel'
    option src_mac '02:F5:61:9C:7C:95'
    option start_time '23:00:00'
    option weekdays ' fri sat'
    option stop_time '23:59:00'
    option enabled '0'

config rule
    option ac_enabled '0'
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option weekdays ' fri sat'
    option name 'T.lap'
    option src_mac '18:56:80:25:8B:AE'
    option start_time '23:00:00'
    option stop_time '23:59:00'
    option enabled '0'

config rule
    option ac_enabled '0'
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option weekdays ' fri sat'
    option name 'T.tel'
    option src_mac '6E:8D:BF:EE:BF:77'
    option start_time '23:00:00'
    option stop_time '23:59:00'
    option enabled '0'

config rule
    option name 'wireguard'
    option src 'wan'
    option dest_port '993'
    option proto 'udp'
    option target 'ACCEPT'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'

config forwarding
    option src 'wg'
    option dest 'wan'

config forwarding
    option src 'wan'
    option dest 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

config include 'pbr'
    option fw4_compatible '1'
    option type 'script'
    option path '/usr/share/pbr/firewall.include'

config rule
    option ac_enabled '1'
    option enabled '1'
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option name 'tom.lap'
    option src_mac '18:56:80:25:8B:AE'
    option start_time '00:00:00'
    option stop_time '05:00:00'

config rule
    option ac_enabled '1'
    option enabled '1'
    option src '*'
    option dest 'wan'
    option proto '0'
    option target 'REJECT'
    option name 'tom.moto'
    option src_mac '6E:8D:BF:EE:BF:77'
    option start_time '00:00:00'
    option stop_time '05:00:00'

2 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

@Cezary pomożesz?

3 Odpowiedź przez Cezary (edytowany przez Cezary 2025-08-25 19:12:44)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

ac_enabled nie jest opcją firewalla, więc zakładam że używasz dodatku typu parential control.

Blokowanie działa np, taką regułą

config rule 'aaa'
    option src 'lan'
    option dest 'wan'
    option src_mac '11:22:33:44:55:66'
    option weekdays 'mon'
    option target 'REJECT'
    option proto 'all'
    option start_time '20:00:00'
    option stop_time '20:59:59'

EDIT: zmien proto 0 na proto all. Jak ustawiłem na 0 to też mi przepuszcza ruch.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

4 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Tak używam acces control. To nie mogę korzystać z tego dodatku, bo źle tworzy regułę? Jest coś innego żeby robić to przez luci?

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

Zmien proto na all i jak ci będzie działało to zmień sobie dodatek żeby robił all a nie 0.

Zwykły firewall w luci. Nie potrzebujesz jakiś dodatków do tego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Zrobiłem tak i dalej przepuszcza 

 config rule
    option ac_enabled '1'
    option src 'lan'
    option dest 'wan'
    option target 'REJECT'
    option name 'vic'
    option start_time '20:26:00'
    option stop_time '20:28:00'
    list proto 'all'
    list src_mac '29:B8:D9:27:A8:B1'

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

Wejdź na strony których jeszcze nie byłeś, np. interię, bo jeżeli sprawdzasz cały czas to samo to możesz miech cache w przeglądarce

src_mac to opcja nie lista.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Ładuje interie, wp .

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

Czas masz właściwy w routerze?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Zmieniłem i dalej strony się ładuję. Czas jest prawidłowy.

 config rule
    option src 'lan'
    option dest 'wan'
    option target 'REJECT'
    option name 'vic'
    option start_time '20:35:00'
    option stop_time '20:38:00'
    option proto 'all'
    option src_mac '29:B8:D9:27:A8:B1'

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

Pokaż wyniki poleceń

date
/etc/init.d/firewall restart
cat /proc/net/arp
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

root@OpenWrt:~# date
Mon Aug 25 20:49:21 CEST 2025
root@OpenWrt:~# /etc/init.d/firewall restart
Section @rule[10] (E.Lap) specifies unknown option 'ac_enabled'
Section @rule[10] (E.Lap) is disabled, ignoring section
Section @rule[11] (E.t) specifies unknown option 'ac_enabled'
Section @rule[11] (E.t) is disabled, ignoring section
Section @rule[12] (T.t) specifies unknown option 'ac_enabled'
Section @rule[13] (T.lap) specifies unknown option 'ac_enabled'
Section @rule[14] (E.tel) specifies unknown option 'ac_enabled'
Section @rule[14] (E.tel) is disabled, ignoring section
Section @rule[15] (T.lap) specifies unknown option 'ac_enabled'
Section @rule[15] (T.lap) is disabled, ignoring section
Section @rule[16] (T.tel) specifies unknown option 'ac_enabled'
Section @rule[16] (T.tel) is disabled, ignoring section
Section @rule[18] (tom.lap) specifies unknown option 'ac_enabled'
Section @rule[19] (tom.moto) specifies unknown option 'ac_enabled'
Automatically including '/usr/share/nftables.d/ruleset-post/30-pbr.nft'
Automatically including '/usr/share/nftables.d/table-post/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-pre/dstnat/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_forward/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_input/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_output/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_postrouting/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_prerouting/30-pbr.nft'
root@OpenWrt:~# cat /proc/net/arp
IP address       HW type     Flags       HW address            Mask     Device
192.168.1.102    0x1         0x2         6a:f1:e7:82:c1:1f     *        br-lan
192.168.1.225    0x1         0x2         86:af:ca:31:40:2a     *        br-lan
192.168.1.101    0x1         0x2         00:1d:ec:17:75:e6     *        br-lan
192.168.1.215    0x1         0x2         86:af:ca:31:40:2a     *        br-lan
192.168.1.157    0x1         0x2         02:f5:61:9c:7c:95     *        br-lan
10.9.147.254     0x1         0x2         3c:fd:fe:d4:2c:b8     *        wan
192.168.1.182    0x1         0x2         86:af:ca:31:40:2a     *        br-lan
192.168.1.239    0x1         0x2         86:af:ca:31:40:2a     *        br-lan
192.168.1.115    0x1         0x0         f8:46:1c:79:c6:58     *        br-lan
192.168.1.204    0x1         0x2         b8:ee:65:0d:d5:1c     *        br-lan
192.168.1.203    0x1         0x2         68:14:01:14:56:4f     *        br-lan
192.168.1.247    0x1         0x2         00:90:a9:e8:cf:ab     *        br-lan
192.168.1.124    0x1         0x2         10:6f:d9:24:f1:2f     *        br-lan
192.168.1.238    0x1         0x2         86:af:ca:31:40:2a     *        br-lan
10.105.109.248   0x1         0x2         02:f5:61:9c:7c:95     *        br-lan
192.168.1.105    0x1         0x0         16:b1:a7:24:7a:3f     *        br-lan
192.168.1.122    0x1         0x0         fa:09:db:94:4d:dd     *        br-lan
192.168.1.104    0x1         0x2         86:af:ca:31:40:2a     *        br-lan
192.168.1.188    0x1         0x2         ac:50:de:95:18:85     *        br-lan
192.168.1.209    0x1         0x2         4c:b9:ea:01:60:dc     *        br-lan
root@OpenWrt:~#

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

Wywal to ac_enabled bo ignoruje sekcję.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Dalej jest internet dla 

 config rule
    option src 'lan'
    option dest 'wan'
    option target 'REJECT'
    option name 'vic'
    option start_time '20:59:00'
    option stop_time '21:04:00'
    list proto 'all'
    list src_mac '29:B8:D9:27:A8:B1'

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

Jeszcze raz /etc/init.d/firewall restart

I zmień te godziny od 20 do 23 a nie bawisz się w pięciominutówki.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez hiuman (edytowany przez hiuman 2025-08-25 20:10:35)

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

 
root@OpenWrt:~# /etc/init.d/firewall restart
Section @rule[10] (E.Lap) is disabled, ignoring section
Section @rule[11] (E.t) is disabled, ignoring section
Section @rule[14] (E.tel) is disabled, ignoring section
Section @rule[15] (T.lap) is disabled, ignoring section
Section @rule[16] (T.tel) is disabled, ignoring section
Automatically including '/usr/share/nftables.d/ruleset-post/30-pbr.nft'
Automatically including '/usr/share/nftables.d/table-post/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-pre/dstnat/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_forward/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_input/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_output/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_postrouting/30-pbr.nft'
Automatically including '/usr/share/nftables.d/chain-post/mangle_prerouting/30-pbr.nft'
root@OpenWrt:~#
 config rule
    option src 'lan'
    option dest 'wan'
    option target 'REJECT'
    option name 'vic'
    option start_time '20:00:00'
    option stop_time '23:00:00'
    option src_mac '29:B8:D9:27:A8:B1'
    list proto 'all'

Oczywiście net jest w dalszym ciągu.

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

W arp nie masz takiego adresu mac. Innym jesteś podłączony.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Faktycznie. Nie wiem czemu mi na początku pokazywało że victus jest na innym mac. Teraz już nie puszcza neta. Jak usunąć z pamięci stare adresy mac (Źródłowy adres MAC) bo mam tam dwa inne adresy ?

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

ARP'em się nie przejmuj, samo zgodnie po pewnym czasie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Tak z ciekawości co to jest ARP?

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Problem z blokowaniem dostępu do internetu.

tablica przechowująca połączenie fizycznego adresu mac z adresem ip który jest mu przypisany

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: Problem z blokowaniem dostępu do internetu.

Dziękuję za pomoc i wyjaśnienie.