Скрипт выключения порта

Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT
Goto page Previous  1, 2, 3  Next
Author Message
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Wed Jul 22, 2015 14:13    Post subject: Reply with quote
kashi wrote:

Еще хочу уточнить, DHCP развернуто на отдельном сервере.
Точка подключена к общей сети (интерфейс №1)На этой точке в ручную прописан IP, Wifi отключен. Через эту точку подключен ноутбук(интерфейс №2), который получил IP адрес от DHCP сервера.
Надо сделать так чтобы не было возможности подключиться к ноутбуку по RDP или с ноутбука по RDP к компьютерам в сети.

Пост выше, плюс можно в данном правиле указать источник IP адрес, DHCP раздавать с привязкой по MAC.
Точка это что? интерфейс №1 где? интерфейс №2?
Sponsor
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Wed Jul 22, 2015 14:29    Post subject: Reply with quote
vasek00 wrote:
kashi wrote:
Сейчас пробовал применить правило. После того как прописал вот эту строчку
"iptables -I FORWARD -p tcp --dport 3389 -j DROP"
Соединения по RDP продолжают устанавливаться.
Интернет перерыл аж руки в кровь. Не могу понять почему не блокируется RDP.

Для начало уточните что такое FORWARD, INPUT, OUTPUT.
Потом убедиться что данное правило добавилось.


Правило добавляется вижу это в iptables -nvL
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Wed Jul 22, 2015 14:31    Post subject: Reply with quote
vasek00 wrote:
kashi wrote:

Еще хочу уточнить, DHCP развернуто на отдельном сервере.
Точка подключена к общей сети (интерфейс №1)На этой точке в ручную прописан IP, Wifi отключен. Через эту точку подключен ноутбук(интерфейс №2), который получил IP адрес от DHCP сервера.
Надо сделать так чтобы не было возможности подключиться к ноутбуку по RDP или с ноутбука по RDP к компьютерам в сети.

Пост выше, плюс можно в данном правиле указать источник IP адрес, DHCP раздавать с привязкой по MAC.
Точка это что? интерфейс №1 где? интерфейс №2?


Точка имеется ввиду - Linksys WRT54GL
Интерфейс №1 имеется ввиду подключен витой парой в порт №1 на точке.
Интерфейс №2 аналогично
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Wed Jul 22, 2015 14:59    Post subject: Reply with quote
kashi wrote:

Для начало уточните что такое FORWARD, INPUT, OUTPUT.
Потом убедиться что данное правило добавилось.
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Wed Jul 22, 2015 15:04    Post subject: Reply with quote
vasek00 wrote:
kashi wrote:

Для начало уточните что такое FORWARD, INPUT, OUTPUT.
Потом убедиться что данное правило добавилось.

Если вы хотите сказать мне о то что я должен почитать мат часть, то говорю вам о том что именно этим я и занимался сегодня.
И разумеется вначале я использовал правило iptables -I INPUT -p tcp --dport 3389 -j DROP
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Wed Jul 22, 2015 15:06    Post subject: Reply with quote
kashi wrote:

Точка имеется ввиду - Linksys WRT54GL
Интерфейс №1 имеется ввиду подключен витой парой в порт №1 на точке.
Интерфейс №2 аналогично

Интерфейс br0 + iptable на данный интерфейс + источник IP (который привязан по MAC, для того чтоб был постоянный для данного MAС или DHCP на роутер).

Code:
iptables -I INPUT -i br0 ... --to-source х.х.х.х
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Wed Jul 22, 2015 15:13    Post subject: Reply with quote
Я не про то что почитать, а про то с какого интерфейса приходят пакеты для RDP и на какой уходят интерфейс.
Из всего прочитанного я понял что у вас два ПК сидят в LAN сети вашего роутера, тогда причем тут FORWARD?
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Wed Jul 22, 2015 15:44    Post subject: Reply with quote
vasek00 wrote:
Я не про то что почитать, а про то с какого интерфейса приходят пакеты для RDP и на какой уходят интерфейс.
Из всего прочитанного я понял что у вас два ПК сидят в LAN сети вашего роутера, тогда причем тут FORWARD?


Есть роутер1 основной который раздает DHCP.
К нему подключен компьютер1.
Также к этому роутеру1 подключена точка Linksys WRT54GL с прошивкой DD WRT.
И уже в Linksys WRT54GL подключен компьютер2.

Да FOPRWARD тут не причем получается, мозг кипит уже.
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Wed Jul 22, 2015 15:49    Post subject: Reply with quote
vasek00 wrote:
kashi wrote:

Точка имеется ввиду - Linksys WRT54GL
Интерфейс №1 имеется ввиду подключен витой парой в порт №1 на точке.
Интерфейс №2 аналогично

Интерфейс br0 + iptable на данный интерфейс + источник IP (который привязан по MAC, для того чтоб был постоянный для данного MAС или DHCP на роутер).

Code:
iptables -I INPUT -i br0 ... --to-source х.х.х.х


А почему именно br0, а не eth0 или vlan0 ?
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Thu Jul 23, 2015 7:50    Post subject: Reply with quote
iptables -I INPUT -i br0 -p tcp -s 192.168.10.61 -j DROP
Использовал, правило записалось. Ничего не изменилось
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Thu Jul 23, 2015 8:57    Post subject: Reply with quote
iptables --flush
iptables --delete-chain
iptables -P INPUT DROP

вот что я прописал.
После ввода, RDP и интернет все равно работает, только до Linksys WRT54GL достучаться не могу.
Голову совсем сломал. Как там получается что я запрещаю вообще все и не работает?
kashi
DD-WRT Novice


Joined: 17 Jul 2015
Posts: 26

PostPosted: Thu Jul 23, 2015 9:44    Post subject: Reply with quote
А если пойти другим путем.
nvram set vlan0ports="3 2 0 5"
nvram set vlan2ports="1 5"
ifconfig vlan2 up
nvram set vlan2hwname=et0
nvram commit
reboot

далее в правилах

iptables -I INPUT -i vlan2 -j ACCEPT
iptables -I FORWARD -i vlan2 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j ACCEPT

Не работает...
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Fri Jul 24, 2015 5:21    Post subject: Reply with quote
kashi wrote:

А почему именно br0, а не eth0 или vlan0 ?

В любом роутере есть обычно switch 5-7 портов все они сидят на шине Ethernet или в обозначении роутера это eth. 5 портов известно WAN, LAN1-LAN4, есть процессорный порт и последний 7 может быть пустой. Данный switch может быть как в CPU так и отдельно. Для того чтоб роутер мог выполнять свою функции - роутить трафик ему нужно на порт получить пакеты принять решение куда их перекинуть, для этого используют vlan т.е. по eth бегают пакеты для vlan0/1 или vlan1/2 на основании привязки портов switch к нужным vlan роутер и принимает решение куда их отправить.
Не которые Atheros имеют два физических eth где eth0 WAN порт, а eth1 LAN1-LAN2.

Br0 - мост в котором находятся в данном случае LAN и wi-fi порт, но могут быть и не вместе.
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Fri Jul 24, 2015 5:28    Post subject: Reply with quote
kashi wrote:
iptables -I INPUT -i br0 -p tcp -s 192.168.10.61 -j DROP
Использовал, правило записалось. Ничего не изменилось

Опять же см. пункт выше функции роутера - фильтровать пакеты и принимать решения - между интерфейсами, повторюсь у вас клиенты локальны и подключены к LAN портам => iptables для них бесполезен. Они подключены к LAN портам - интерфейс vlan0, а он в интерфейсе br0.
Из вашего поста
Quote:
Подключаюсь через SSH.
Помогите пожалуйста двумя скриптами.
Первый должен отключать определенный интерфейс(например 2). Второй должен этот интерфейс включать.

Обычно пользователям надо удаленно, т.е. из интернета в лок.сеть или на оборот, у вас же ближе к концу выясняется
Quote:
Еще хочу уточнить, DHCP развернуто на отдельном сервере.
Точка подключена к общей сети (интерфейс №1)На этой точке в ручную прописан IP, Wifi отключен. Через эту точку подключен ноутбук(интерфейс №2), который получил IP адрес от DHCP сервера.
Надо сделать так чтобы не было возможности подключиться к ноутбуку по RDP или с ноутбука по RDP к компьютерам в сети.

Самое простое решение - это вывод данного ноутбука из vlan1, т.е. вырезать его LAN порт из switch => создать vlan3 и уже тут использовать iptables для vlan3, т.е. запретить хождение пакетов на vlan3 =>
Code:
iptables -I INPUT -i vlna3 -p tcp .... -j DROP

должно получиться 3 vlan - один на WAN порт, другой на 3 порта LAN и последний на один порт LAN к которому ноутбук.
Только тут уже одним правилом не обойтись, так как новый интерфейс и ему нужно разрешить проход на интернет и на лок.сеть. На форуме куча была примеров по использованию vlan3 в правилах iptables, по пробуйте найти их поиском.


Last edited by vasek00 on Fri Jul 24, 2015 5:37; edited 1 time in total
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Fri Jul 24, 2015 5:34    Post subject: Reply with quote
kashi wrote:
А если пойти другим путем.
nvram set vlan0ports="3 2 0 5"
nvram set vlan2ports="1 5"
ifconfig vlan2 up
nvram set vlan2hwname=et0
nvram commit
reboot

далее в правилах

iptables -I INPUT -i vlan2 -j ACCEPT
iptables -I FORWARD -i vlan2 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j ACCEPT

Не работает...

Мысли в правельном направление если учесть пост выше и учтите у вас Broadcom.
Goto page Previous  1, 2, 3  Next Display posts from previous:    Page 2 of 3
Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum