Forum » Omrežja in internet » OpenWRT - kako nastaviti samo lokalen dostop
OpenWRT - kako nastaviti samo lokalen dostop
radmannsdorf ::
Ne najdem, če sploh je možno, nastaviti, da lahko do routerja dostopam samo z LAN in ne tudi WAN recimo. Mogoče kdo ve? Hvala.
V tovraniškem firmware je možnost, da je dostop do routerja samo z določenega MAC naslova.
V tovraniškem firmware je možnost, da je dostop do routerja samo z določenega MAC naslova.
- spremenilo: radmannsdorf ()
BivšiUser2 ::
Blokiraj porte (tcp 22, 80 and 443) v smeri WAN>LAN
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...
SloTech - če nisi z nami, si persona non grata.
Zgodovina sprememb…
- spremenil: BivšiUser2 ()
BCSman ::
XS!D3 ::
ISP mi je dodelil statiko, v OpenWRTju pa nikjer ne najdem, kje bi se vneslo ip mojega routerja. Če tukaj vnesem podatke od statike (statičen zunanji ip namesto 10.10.10.1, maska, gateway, dns-ji...kam bom vnesel torej lokalni gateway ip za dostop do routerja? (trenutno 10.10.10.1)
To so nastavitve za LAN vmesnik, torej vmesnik, ki je povezan v tvojo lokalno mrežo. Zgoraj levo imaš tab, kjer nastavljaš WAN vmesnik.
SeMiNeSanja ::
BivšiUser2 je izjavil:
Blokiraj porte (tcp 22, 80 and 443) v smeri WAN>LAN
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...
Kaj se ne da blokirat kar generalno vse incoming porte, potem pa eksplicitno odpirati zgolj tiste, katere nujno potrebuješ? Nekako mi je nelogično, da to ne dela že po defaultu...ampak bog pomagaj.
XS!D3 ::
SeMiNeSanja je izjavil:
BivšiUser2 je izjavil:
Blokiraj porte (tcp 22, 80 and 443) v smeri WAN>LAN
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...
Kaj se ne da blokirat kar generalno vse incoming porte, potem pa eksplicitno odpirati zgolj tiste, katere nujno potrebuješ? Nekako mi je nelogično, da to ne dela že po defaultu...ampak bog pomagaj.
Seveda se da in tudi po defaultu je iz WANa vse blokirano (tako input kot forward chain) razen established/ralated povezav.
Sicer pa tudi WAN->LAN pravila nimajo nobene veze pri dostopu do samega usmerjevalnika. Če že bi moral nastavljat input chain iz WAN, ampak je tako ali tako default policy reject + izjeme za DHCP in ICMP ping. Pa tudi dropbear instanca bi morala biti že po defaultu samo ena. In če imaš SSH dostopen samo iz interne mreže (kar po defaultu tudi je), ne vidim potrebe po uporabi alternativnih portov in omejevanju avtentikacije, sploh ker imaš web interface še vedno dostopen z geslom. Ne rečem, če bi želel SSH dejansko odpret na ven, potem je jasno, da se onemogič avtentikacijo z geslom itd.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Tomato (Shibby) router firmware - vprašanjaOddelek: Omrežja in internet | 2393 (1721) | AC_DC |
» | Nenavaden črv napada Linksysove usmerjevalnikeOddelek: Novice / Varnost | 7104 (3785) | Daniel |
» | IZZIV za vse ki se spoznate na WIFIOddelek: Pomoč in nasveti | 3121 (2506) | NeMeTko |
» | Psyb0t - zlonamerni črv, ki napada Linux mrežno opremoOddelek: Novice / Varnost | 5526 (3691) | Azrael |
» | VARNA priključitev računalnika v omrežje.Oddelek: Omrežja in internet | 1444 (1268) | poweroff |