» »

OpenWRT - kako nastaviti samo lokalen dostop

OpenWRT - kako nastaviti samo lokalen dostop

radmannsdorf ::

Ne najdem, če sploh je možno, nastaviti, da lahko do routerja dostopam samo z LAN in ne tudi WAN recimo. Mogoče kdo ve? Hvala.
V tovraniškem firmware je možnost, da je dostop do routerja samo z določenega MAC naslova.

BivšiUser2 ::

Blokiraj porte (tcp 22, 80 and 443) v smeri WAN>LAN
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...
SloTech - če nisi z nami, si persona non grata.

Zgodovina sprememb…

BCSman ::

ISP mi je dodelil statiko, v OpenWRTju pa nikjer ne najdem, kje bi se vneslo ip mojega routerja. Če tukaj vnesem podatke od statike (statičen zunanji ip namesto 10.10.10.1, maska, gateway, dns-ji...kam bom vnesel torej lokalni gateway ip za dostop do routerja? (trenutno 10.10.10.1)
 wrt1

wrt1

XS!D3 ::

BCSman je izjavil:

ISP mi je dodelil statiko, v OpenWRTju pa nikjer ne najdem, kje bi se vneslo ip mojega routerja. Če tukaj vnesem podatke od statike (statičen zunanji ip namesto 10.10.10.1, maska, gateway, dns-ji...kam bom vnesel torej lokalni gateway ip za dostop do routerja? (trenutno 10.10.10.1)
 wrt1

wrt1


To so nastavitve za LAN vmesnik, torej vmesnik, ki je povezan v tvojo lokalno mrežo. Zgoraj levo imaš tab, kjer nastavljaš WAN vmesnik.

SeMiNeSanja ::

BivšiUser2 je izjavil:

Blokiraj porte (tcp 22, 80 and 443) v smeri WAN>LAN
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...

Kaj se ne da blokirat kar generalno vse incoming porte, potem pa eksplicitno odpirati zgolj tiste, katere nujno potrebuješ? Nekako mi je nelogično, da to ne dela že po defaultu...ampak bog pomagaj.

XS!D3 ::

SeMiNeSanja je izjavil:

BivšiUser2 je izjavil:

Blokiraj porte (tcp 22, 80 and 443) v smeri WAN>LAN
Izbereš ustrezno možnost za ssh dostop preko dropbeara pod System>Administration tab, pa izbriši vse dropbear instance (nekaj takega: http://prnt.sc/cd16ai ) in ustvari novo, samo za LAN, z nestandardnim ssh portom. Vse ostalo odkljukaj.
Prav tako onemogoči dostop z geslom in uporabi Public Key Authentication
Lahko tudi namesto http protokola uporabljaš https. Več pa tudi https://wiki.openwrt.org/doc/howto/secu...

Kaj se ne da blokirat kar generalno vse incoming porte, potem pa eksplicitno odpirati zgolj tiste, katere nujno potrebuješ? Nekako mi je nelogično, da to ne dela že po defaultu...ampak bog pomagaj.

Seveda se da in tudi po defaultu je iz WANa vse blokirano (tako input kot forward chain) razen established/ralated povezav.

Sicer pa tudi WAN->LAN pravila nimajo nobene veze pri dostopu do samega usmerjevalnika. Če že bi moral nastavljat input chain iz WAN, ampak je tako ali tako default policy reject + izjeme za DHCP in ICMP ping. Pa tudi dropbear instanca bi morala biti že po defaultu samo ena. In če imaš SSH dostopen samo iz interne mreže (kar po defaultu tudi je), ne vidim potrebe po uporabi alternativnih portov in omejevanju avtentikacije, sploh ker imaš web interface še vedno dostopen z geslom. Ne rečem, če bi želel SSH dejansko odpret na ven, potem je jasno, da se onemogič avtentikacijo z geslom itd.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tomato (Shibby) router firmware - vprašanja

Oddelek: Omrežja in internet
132375 (1703) AC_DC
»

Nenavaden črv napada Linksysove usmerjevalnike

Oddelek: Novice / Varnost
227019 (3700) Daniel
»

IZZIV za vse ki se spoznate na WIFI

Oddelek: Pomoč in nasveti
233095 (2480) NeMeTko
»

Psyb0t - zlonamerni črv, ki napada Linux mrežno opremo

Oddelek: Novice / Varnost
335395 (3560) Azrael
»

VARNA priključitev računalnika v omrežje.

Oddelek: Omrežja in internet
51432 (1256) poweroff

Več podobnih tem