Еще хочу уточнить, DHCP развернуто на отдельном сервере.
Точка подключена к общей сети (интерфейс №1)На этой точке в ручную прописан IP, Wifi отключен. Через эту точку подключен ноутбук(интерфейс №2), который получил IP адрес от DHCP сервера.
Надо сделать так чтобы не было возможности подключиться к ноутбуку по RDP или с ноутбука по RDP к компьютерам в сети.
Пост выше, плюс можно в данном правиле указать источник IP адрес, DHCP раздавать с привязкой по MAC.
Точка это что? интерфейс №1 где? интерфейс №2?
Сейчас пробовал применить правило. После того как прописал вот эту строчку
"iptables -I FORWARD -p tcp --dport 3389 -j DROP"
Соединения по RDP продолжают устанавливаться.
Интернет перерыл аж руки в кровь. Не могу понять почему не блокируется RDP.
Для начало уточните что такое FORWARD, INPUT, OUTPUT.
Потом убедиться что данное правило добавилось.
Еще хочу уточнить, DHCP развернуто на отдельном сервере.
Точка подключена к общей сети (интерфейс №1)На этой точке в ручную прописан IP, Wifi отключен. Через эту точку подключен ноутбук(интерфейс №2), который получил IP адрес от DHCP сервера.
Надо сделать так чтобы не было возможности подключиться к ноутбуку по RDP или с ноутбука по RDP к компьютерам в сети.
Пост выше, плюс можно в данном правиле указать источник IP адрес, DHCP раздавать с привязкой по MAC.
Точка это что? интерфейс №1 где? интерфейс №2?
Точка имеется ввиду - Linksys WRT54GL
Интерфейс №1 имеется ввиду подключен витой парой в порт №1 на точке.
Интерфейс №2 аналогично
Для начало уточните что такое FORWARD, INPUT, OUTPUT.
Потом убедиться что данное правило добавилось.
Если вы хотите сказать мне о то что я должен почитать мат часть, то говорю вам о том что именно этим я и занимался сегодня.
И разумеется вначале я использовал правило iptables -I INPUT -p tcp --dport 3389 -j DROP
Я не про то что почитать, а про то с какого интерфейса приходят пакеты для RDP и на какой уходят интерфейс.
Из всего прочитанного я понял что у вас два ПК сидят в LAN сети вашего роутера, тогда причем тут FORWARD?
Я не про то что почитать, а про то с какого интерфейса приходят пакеты для RDP и на какой уходят интерфейс.
Из всего прочитанного я понял что у вас два ПК сидят в LAN сети вашего роутера, тогда причем тут FORWARD?
Есть роутер1 основной который раздает DHCP.
К нему подключен компьютер1.
Также к этому роутеру1 подключена точка Linksys WRT54GL с прошивкой DD WRT.
И уже в Linksys WRT54GL подключен компьютер2.
Да FOPRWARD тут не причем получается, мозг кипит уже.
iptables --flush
iptables --delete-chain
iptables -P INPUT DROP
вот что я прописал.
После ввода, RDP и интернет все равно работает, только до Linksys WRT54GL достучаться не могу.
Голову совсем сломал. Как там получается что я запрещаю вообще все и не работает?
В любом роутере есть обычно switch 5-7 портов все они сидят на шине Ethernet или в обозначении роутера это eth. 5 портов известно WAN, LAN1-LAN4, есть процессорный порт и последний 7 может быть пустой. Данный switch может быть как в CPU так и отдельно. Для того чтоб роутер мог выполнять свою функции - роутить трафик ему нужно на порт получить пакеты принять решение куда их перекинуть, для этого используют vlan т.е. по eth бегают пакеты для vlan0/1 или vlan1/2 на основании привязки портов switch к нужным vlan роутер и принимает решение куда их отправить.
Не которые Atheros имеют два физических eth где eth0 WAN порт, а eth1 LAN1-LAN2.
Br0 - мост в котором находятся в данном случае LAN и wi-fi порт, но могут быть и не вместе.
iptables -I INPUT -i br0 -p tcp -s 192.168.10.61 -j DROP
Использовал, правило записалось. Ничего не изменилось
Опять же см. пункт выше функции роутера - фильтровать пакеты и принимать решения - между интерфейсами, повторюсь у вас клиенты локальны и подключены к LAN портам => iptables для них бесполезен. Они подключены к LAN портам - интерфейс vlan0, а он в интерфейсе br0.
Из вашего поста
Quote:
Подключаюсь через SSH.
Помогите пожалуйста двумя скриптами.
Первый должен отключать определенный интерфейс(например 2). Второй должен этот интерфейс включать.
Обычно пользователям надо удаленно, т.е. из интернета в лок.сеть или на оборот, у вас же ближе к концу выясняется
Quote:
Еще хочу уточнить, DHCP развернуто на отдельном сервере.
Точка подключена к общей сети (интерфейс №1)На этой точке в ручную прописан IP, Wifi отключен. Через эту точку подключен ноутбук(интерфейс №2), который получил IP адрес от DHCP сервера.
Надо сделать так чтобы не было возможности подключиться к ноутбуку по RDP или с ноутбука по RDP к компьютерам в сети.
Самое простое решение - это вывод данного ноутбука из vlan1, т.е. вырезать его LAN порт из switch => создать vlan3 и уже тут использовать iptables для vlan3, т.е. запретить хождение пакетов на vlan3 =>
Code:
iptables -I INPUT -i vlna3 -p tcp .... -j DROP
должно получиться 3 vlan - один на WAN порт, другой на 3 порта LAN и последний на один порт LAN к которому ноутбук.
Только тут уже одним правилом не обойтись, так как новый интерфейс и ему нужно разрешить проход на интернет и на лок.сеть. На форуме куча была примеров по использованию vlan3 в правилах iptables, по пробуйте найти их поиском.
Last edited by vasek00 on Fri Jul 24, 2015 5:37; edited 1 time in total