我有一个默认配置的 Openwrt 路由器,并进行了以下更改:Lan 网络 - 192.168.1.0/24 管理网络 - 193.168.2.0/24 Wan 网络 - 192.168.0.0/24
iptables 目录
默认转发拒绝
管理员+局域网
转发拒绝
进/出允许
Lan 到 Wan 转发允许
万
输入拒绝
输出允许
伪装
滴熊
仅在管理界面上监听
编辑:交换机实际上被分成 3 个未标记 Vlan 的段。Wan、Lan、Admin。因此,不同的接口并不都位于同一第 2 层设备上。
当我将笔记本电脑连接到 LAN 接口时,我无法按预期访问管理区域中的设备。但如果它是路由器本身的 IP,我可以在每个子网中访问它。因此,我可以连接到所有路由器 IP 上的服务。192.168.0.2、192.167.1.1、192.168.2.1
如果我执行 ssh[电子邮件保护]--> 连接被拒绝
如果我执行 ssh[电子邮件保护]--> 我获得了一个有效的 ssh 连接。
我不想让 ssh 服务从 Lan 访问。或者说,除了预期之外的其他子网上没有网络服务。我错过了什么才能使该区域区分在路由器自己的 IP 上也能正常工作?
我使用 Iptables 规则来阻止从 LAN 到 192.168.2.1 的所有内容。这可行,但我希望有一个设置可以阻止所有未来网络的这种情况。
答案1
我认为你应该尝试一下,只需在 /etc/config/firewall 文件中进行编辑
即可
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'
后
config zone
option name 'lan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option network 'lan'
config rule
option target 'ACCEPT'
option proto 'tcp udp'
option dest_port '53'
option name 'lan DNS'
option src 'lan'
config rule
option enabled '1'
option target 'ACCEPT'
option name 'lan DHCP'
option src 'lan'
option proto 'udp'
option dest_port '67-68'
这将帮助您拒绝通过局域网向路由器发送嘘声。