DHCPサーバープール:192.168.1.0/24を持つOpenWrt 10.03ルーター[IP:192.168.1.1]があります。クライアントはワイヤレス/有線接続を介してそれを使用します。いいね!
問題は、ユーザーを互いに分離する必要があることです。
これを行うには:IPTABLESルール[/etc/firewall.user]を介して。
いいね!
「サウンドを考える」:したがって、[OpenWrtルーターで]次の規則が必要です。
- DROP ここで SOURCE: 192.168.1.2-192.168.1.255 で DESTINATION は 192.168.1.2-192.168.1.255
アイデアは次のとおりです。いいね!
質問!
- このファイアウォールルールを適用すると、自分自身をロックできますか?
- これは安全な方法ですか? [これは簡単ですか? :こんにちは。私は顧客です。私のIPアドレスは192.168.1.1です! - これで、暗号化されていないトラフィックをスニッフィングできます。 :( - すべてのクライアントが同じサブネットにあるためです!]
- 重複したIPアドレスを検索/監査するための良い方法はあります か
?
良い方法はありますか? Layer2 でこの IPTALBES ルールを実装するにはどうすればよいですか。
$ wget -q "http://downloads.openwrt.org/backfire/10.03/ar71xx/packages/" -O - | grep -i ebtables
$
ps:ルールは[良いチェーンにありますか? ]: iptables -A FORWARD -m iprange --src-range 192.168.1.2-192.168.1.255 --dst-range 192.168.1.2-192.168.1.255 -j DROP
ありがとうございます!
答え1
ワイヤレスユーザーと有線ユーザーを分離したい場合は、インターフェースを合わせてみてはいかがでしょうか? ppp0 がインターネットに接続され、eth0 がローカル LAN、wlan0 がワイヤレスであるとします。
iptables -P FORWARD DROP # Drop everything except:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED # Accept already accepted connections
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT # Accept outgoing connections from local LAN
iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT # Accept outgonig connnections from wlan
これを使用する場合:
- インターネットから何でも接続できない
- ワイヤレスユーザーはインターネットにのみ接続できます。
- ケーブルユーザーはインターネットにのみ接続できます。
- 以下を追加すると、別のIP範囲を適用できます。
--src-range
DHCPサーバーがOpenWrtデバイスで実行されている場合、FORWARDチェーンはどのような方法でも影響を与えません。 DHCP サーバーでの使用を許可
iptables -P INPUT DROP # Drop everything except:
iptables -A INPUT -m state --state RELATED,ESTABLISHED # Accept already accepted connections
iptables -A INPUT ! -i ppp0 -p tcp --dport 22 -j ACCEPT # Don't forget SSH
iptables -A INPUT ! -i ppp0 -p udp --sport 68 --dport 67 # Accept DHCP requests from any local network
私は通常、いくつかのタイプのICMPとスパムを除いて、OUTPUTのすべてを許可します。ただし、より安全な基本DROPを好む可能性があるため、具体的な規則は次のとおりです。
iptables -P OUTPUT DROP # Drop everything except:
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT ! -o ppp0 -p udp --sport 67 --dport 68 -j ACCEPT # Allow DHCP to the local network
これは、すべてのものに接続してはいけないルーターにとってより意味があります。
私の経験では、MACフィルタリングを使用しないことをお勧めします。セキュリティを追加せずにご迷惑をおかけするだけです。しかし、見たい場合:
iptables -m mac --help
MACアドレスを記録すると便利ですが、簡単に偽造される可能性があります。 ACCEPTルールの前に-j LOG
またはを追加すると、一致-j NFLOG
ルールは同じになります。
ネットワーク経由でのみアクセスできるコンピュータを構成しているため、自分がロックしないように注意してください。ただ近づいてルールを手動で削除することはできません。特に、iptables -P INPUT DROP
空のINPUTチェーンを使用すると、SSHセッションが終了します。設定ファイルでルールを使用してiptables-save
作成することをお勧めします。iptables-restore
ルーターでルールを試す前に、キーボードとモニターを搭載したコンピューターでルールをテストできれば便利です。