我正在和同学一起做一个项目,我们发现 IP 摄像头中有一个漏洞。该摄像头使用端口 8554 作为 rtsp 协议(未经身份验证)。我想阻止此端口,以便网络上的其他人无法通过 RTSP 协议访问实时摄像头镜头(尽管可以从云端访问,但不必担心)
为了验证概念,我配置了一个 SBC 用作路由器,并安装了 hostapd、dnsmasq、dhcpcd 和 iptables。我尝试了各种方法,但似乎无法阻止端口,甚至无法阻止局域网上的客户端到客户端通信。甚至 hostapd ap_isolate=1 也不起作用。
一些信息:
- wlan0:接入点
- wlan1:互联网
- 所有客户端都需要互联网
这些是我尝试过的规则:
sudo iptables -A FORWARD -i wlan0 -o wlan0 -j DROP
sudo iptables -A FORWARD -p tcp --dport 8554 -d 192.168.0.76 -j DROP
sudo iptables -I INPUT -p tcp --dport 8554 -s 192.168.0.0/24 -j DROP
sudo iptables -I INPUT -p udp --dport 8554 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP
我还尝试了一些类似的附加规则
从 hostapd 配置来看:ap_isolate=1(即使重启后也没有执行任何操作)
这些是我在 hostapd.conf 中的设置:
interface=wlan0
driver=nl80211
ieee80211n=1
ssid=xxxxxxx
hw_mode=g
channel=10
wmm_enabled=0
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=xxxxxxxx
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
ap_isolate=1
提前感谢您的回复