Jak Zablokować łączenie Z 192.168.1.a Do 192.168.1.b

[LenoX]

Mam sieć lokalną z kilkoma komputerami, którą zawiaduje Linksys WRT54GL z softem DD-WRT v24-sp1 (07/27/08).

 

Wygląda to:

{192.168.1.a, 192.168.1.b, 192.168.1.c} - - Router 192.168.1.1 -- MODEM -- WAN

 

Proszę o pomoc co wpisać do firewall'a na routerze aby

zablokować całkowicie połączenia pomiędzy 192.168.1.a do 192.168.1.b

192.168.1.a może natomiast łączyć się z WAN.

 

When using the -i or -o to define the physical interfaces, remember that by default:

vlan0 is the 4 LAN ports

vlan1 is the WAN port (ppp0 is the WAN interface when PPPoE is used)

eth1 is the WIFI

br0 is a bridge connecting the 4 LAN and the WIFI together

 

 

Od razu mówię, że w 192.168.1.b i 192.168.1.a nie ma możliwości konfigurowania firewalli.

Do routera mogę wpisać kod analogiczny jak do standardowego linuksa. np:

'iptables -A INPUT -s 192.168.1.a -j DROP'

 

 

 

 

[@WalDo]

Jeśli nie ma możliwości konfigurowania firewalla, to mówimy chyba o Windows, bo w każdym linuksie taka możliwość istnieje.

Przenoszę do "No name". Proszę wybierać właściwe działy.

[Adi1981]

Ja bym to raczej do oślej łączki dał - chodzi o prostą regułkę iptables z source/destination ustawioną na routerze (linux) a nie na komputerach docelowych.

[abc]

Wygląda to:

{192.168.1.a, 192.168.1.b, 192.168.1.c} - - Router 192.168.1.1 -- MODEM -- WAN

 

Proszę o pomoc co wpisać do firewall'a na routerze aby

zablokować całkowicie połączenia pomiędzy 192.168.1.a do 192.168.1.b

192.168.1.a może natomiast łączyć się z WAN.

Na moje oko odpowiedź brzmi: nie da się. Komputery z tej samej podsieci łączą się ze sobą olewając całkowicie router, więc co byś na nim nie wpisał, nie zablokujesz połączeń w sieci wewnętrznej.

 

Chyba, że źle zrozumiałem cel, bo jest nie do końca jasno wyłożony. Jeśli chcesz tylko innym oprócz 192.168.1.a zablokować dostęp do WAN, to do zastosowania prosta regułka wspomniana już nieco wcześniej. Szczegóły powie Ci google oraz wyszukiwarka na forum.

[LenoX]

Dzięki za informacje, że w sieci lokalnej na routerze firewall mi nie pomoże.

 

[morsik]

Na moje oko odpowiedź brzmi: nie da się. Komputery z tej samej podsieci łączą się ze sobą olewając całkowicie router, więc co byś na nim nie wpisał, nie zablokujesz połączeń w sieci wewnętrznej.

Nie wydaje mi się... przecież to router nadaje adresy IP i to do routera są podpięte komputery, więc tak czy tak, połączenie musi iść przez router.

[@WalDo]

Dzięki za informacje, że w sieci lokalnej na routerze firewall mi nie pomoże.

No tak, nie zastanowiłem się i dałem się na to nabrać

Ale z drugiej strony to upraszcza sprawę a wątek czyni zupełnie bezzasadnym - wystarczy instrukcja obsługi tego Linksysa. Nie wiadomo tylko czy ruter ma takie możliwości.

[abc]

Nie wydaje mi się... przecież to router nadaje adresy IP i to do routera są podpięte komputery, więc tak czy tak, połączenie musi iść przez router.

Po pierwsze - router wcale nie musi nadawać adresów ip - komputery mogą mieć przecież statyczne ip. A nawet jeśli nadaje, to to i tak nie ma tu znaczenia. Pozatym komputery nie są podpięte do routera a do jakiegoś switcha - być może zintegrowanego z routerem. Jenyną nadzieją jaką tu widzę jest switch zarządzany, ale nie miałem nigdy takiego i nie wiem na ile można im tam regułki połączeń pisać.

Po drugie - ruch wewnątrz sieciowy nie przechodzi przez router. Celem jest zablokowanie połączeń z 192.168.1.a do 192.168.1.b, z 192.168.1.b do 192.168.1.c itp. a nie wyjście tych komputerów na świat. Tego się na routerze nie osiągnie. Router łączy dwie różne sieci i nie jest potrzebny przy ruchu w obrębie jednej sieci.

[@WalDo]

Z pierwszego posta wynika, że komputery są podłączone do wspólnego rutera.

Jeśli ten ruter ma firewall, to być może ten firewall da się tak skonfigurować, żeby dwa komputery w tej samej sieci nie mogły korzystać ze swoich zasobów - będą się "widziały", ale nie będą się łączyć. I to nie zależy od tego czy nadajesz adresy IP statycznie czy dynamicznie.

Jeśli zrobisz prosty ruter na linuksie, to możesz podać regułę, ktora nie dopuści do przesłania pakietów jeśli źródłem jest A a celem B i na odwrót.

Osobna sprawa czy oprogramowanie do zarzadzania tym ruterem udostępnia taką funkcjonalność?

[abc]

No dobra, chyba zrozumiałem wkońcu w czym leżały drobne nieporozumienia

 

W każdym razie to by sprowadzało do pytania, czy ten sprzęt może robić za zarządzany switch / accesspoint. Śmiem w to wątpić, ale to już może sprawdzić tylko osoba, która pociada to cudo. Bo warstwa routująca nie ma tu absolutnie nic do gadania.

 

Co do twojej uwagi Waldo, to jak zrobię sobie router na linuksie, to też nie osiągnę celu jaki tu został postawiony. Poprostu żaden pakiet z komputera A do B (w tej samej sieci, to ma kluczowe znaczenie) nawet routera nie dotknie. To można zrobić tylko albo na poziomie przycinania ruchu na switchu, albo na samych zainteresowanych maszynach.

 

Hehe, nie ma to jak dyskusja, z której, zdaje się, główna zainteresowana osoba już dawno wypadła

Ale może przynajmniej komuś w przyszłości przyda się garść zgromadzonych tu informacji

[@WalDo]

To można zrobić tylko albo na poziomie przycinania ruchu na switchu, albo na samych zainteresowanych maszynach.

Hmmm... No, dobra chyba mnie przekonałeś.

 

[LenoX]

Witam, w sumie nadmienię, że się wyłączyłem z Forum na parę dni, bo mój post został był zdegradowany na OFFTOPIC.... :-(

 

Tęgie głowy pokazały jasno, że co innego Router i Firewall, a co innego zarządzalny switch. Dzięki serdeczne.

 

Mój router/switch/AP ma potężne możliwości konfiguracyjne, zatem podłubię przy zarządzaniu VLANem

 

Ale nadmieniam, żę Firewall na routerze może zarządzać w sytuacji, gdy kompy podpięte do LANu łączą się przez zintegrowany AP do kompów na WLANie.

 

Dociekam, gdyż 192.168.1.b to server z dokumentami, zdjęciami i.t.d. Chcę zatem maksymalnie ograniczyć dostęp "intruzom".

 

 

 

[Adi1981]

W niektórych routerach jest możliwość separacji klientów (User Isolation lub podobnie) - ale podejrzewam że nie będziesz miał możliwości zdefiniowania których dokładnie klientów więc zadziała to na wszystkie komputery w sieci.

Plus tego wszystkiego jest taki, że będziesz mógł wtedy zrobić porządny iptables na routerze, zdefiniować hosty według woli i łączyć się na komputery w sieci przez interfejs zewnętrzny. Czy będzie to wygodniejsze i da (_na prawdę_ → naprawdę) ORT dużo lepsze możliwości ? Nie mam pojęcia

[korotopor]

Z tego co pamiętam to Linksys WRT54GL może mieć zainstalowane nowe firmware Tomato czyli pełnoprawnego Linuksa ze znakomitym konfigurowalnym firewallem.

Czyli takie operacje pewnikiem bez kłopotu można zrobić. Do Tomato jest doskonała dokumentacja.

 

pozdrowienia

[LenoX]

rozwiązane problemu tu

 

 

w przypadku routerów ogólno-domowych typu WRT54GL. WiFi i LAN pracują spięte w jeden most, u mnie br0

root@mind:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
87.105.233.1    *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 br0
169.254.0.0     *               255.255.0.0     U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         dynamic-87-105- 0.0.0.0         UG    0      0        0 ppp0

Firewall nie może ingerować w ruch w br0.