怎么限制别人通过wifi访问管理页面

sasalemma · 发表于 2021-5-6 17:54

cpx2004 发表于 2021-5-6 14:24
好像没起作用

抱歉看错了。忘了不是红米不是op。

这个主路由op是反过来写。

iptabels -t filter -s 红米的wan口ip -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptabels -t filter -s 红米的wan口ip -d 192.168.1.1 -p tcp --dport 80 -j DROP

这样是限制红米wan口所有访问主路由WEB页面的规则。

之前说的是红米是op限制对上层路由的访问才是那个网段。

若是需要红米wifi单独放开某个设备访问主路由，目前只修改主路由是没有办法的。

因为对于主路由来上，红米wifi下任何设备访问主路由，都被NAT成红米的ip访问主路由。

也就是说假如红米的wan是 192.168.1.133，红米底下的设备192.168.31.33，访问192.168.1.1，等于是192.168.1.133访问192.168.1.1。主路由上拦截就是一棒子打死的。

cpx2004 · 发表于 2021-5-6 19:31

sasalemma 发表于 2021-5-6 17:54
抱歉看错了。忘了不是红米不是op。

这个主路由op是反过来写。

你好，这样写可以吗？

iptabels -t filter -s 红米的wan口ip -d 192.168.1.0/24 -p tcp -j DROP
限制访问局域网内其他端口

cpx2004 · 发表于 2021-5-6 19:41

sasalemma 发表于 2021-5-6 17:54
抱歉看错了。忘了不是红米不是op。

这个主路由op是反过来写。

你好，笔记本电脑无线连接依然可以访问路由器

cpx2004 · 发表于 2021-5-6 19:43

sasalemma 发表于 2021-5-6 17:54
抱歉看错了。忘了不是红米不是op。

这个主路由op是反过来写。

我应该没有输入错误，路由器也重启了，一样

sasalemma · 发表于 2021-5-6 21:26

cpx2004 发表于 2021-5-6 14:24
好像没起作用

不是很科学。防火墙里有这条规则了没？Forward表里

iptables -t filter -I FORWARD -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -t filter -I FORWARD -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 80 -j DROP

抱歉，写漏了插进forward表

iptable很简单的。不用重启路由，自定义规则写好，点保存即生效，没有生效就是写错了。生效了，会在对应表了出现规则。

cpx2004 · 发表于 2021-5-6 21:38

sasalemma 发表于 2021-5-6 21:26
不是很科学。防火墙里有这条规则了没？Forward表里

我防火墙和你不一样
然后这个规则也没有用

sasalemma · 发表于 2021-5-6 21:59

cpx2004 发表于 2021-5-6 21:38
我防火墙和你不一样
然后这个规则也没有用

一样的，只是主题不一样，左侧第一个，在状态那里，有防火墙

cpx2004 · 发表于 2021-5-6 22:04

sasalemma 发表于 2021-5-6 21:59
一样的，只是主题不一样，左侧第一个，在状态那里，有防火墙

谢谢，但是还是可以通过无线访问路由器

sasalemma · 发表于 2021-5-6 22:37

cpx2004 发表于 2021-5-6 22:04
谢谢，但是还是可以通过无线访问路由器

那就没办法了，你这个第三方固件，不知道自定义的一条链在哪里修改。

看转发 FORWARD 表里

第一第二条是代理转发的，这两条的优先级比我给你插入的规则要优先，第三第四条是刚才插入的规则，但并没有生效。第五条是 forwarding rule，也是这个固件的人整的特殊规则。

非官方固件，你得先理清楚原来规则表什么鬼，才能让规则生效，否则规则冲突得情况，压根就没有自定义规则什么事情了。

规则生效就会在那条规则上有对应得数据包。规则表是按上到下执行的。

sasalemma · 发表于 2021-5-6 22:44

cpx2004 发表于 2021-5-6 22:04
谢谢，但是还是可以通过无线访问路由器

要不尝试下插入 zone_lan_forward LAN转发这个表试试。

iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 80 -j DROP

红米是 192.168.1.119的话，也可以插入 zone_lan_input

iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 80 -j DROP

反正就是掐断内部 192.168.1.119 到 192.168.1.1 的数据转发就是成功了。

cpx2004 · 发表于 2021-5-6 22:55

sasalemma 发表于 2021-5-6 22:44
要不尝试下插入 zone_lan_forward LAN转发这个表试试。

iptables -I zone_lan_forward -s 192.168 ...

iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 80 -j DROP
用这个成功了，无线设备不能访问局域网设备了。
如果把192.168.1.1 改为192.168.1.2 是不是，仅仅指不能访问192.168.1.2这台设备。

sasalemma · 发表于 2021-5-6 23:09

本帖最后由 sasalemma 于 2021-5-6 23:13 编辑

cpx2004 发表于 2021-5-6 22:55
iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -I ...

对

-s 源设备，-d 是目标设备，-p 是端口协议，--dport 是目标端口，对应还有一个-sport 是源端口。

-j 后面的 DROP 是扔掉数据包。

-I 后面加需要插入的表

iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 5555 -j DROP

就是禁止 119 访问 1 的 5555 端口

如果是禁止非网关 192.168.1.1 ，估计要插入 zone_lan_forward 这个。input表是指输入192.168.1.1这个设备。

iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.2 -j DROP
iptables -I zone_lan_forward -s 192.168.1.2 -d 192.168.1.119 -j DROP

扔掉 192.168.1.119 和 192.168.1.2 之间的所有的通信包。

也可以用

REJECT

iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.2 -j

REJECT

iptables -I zone_lan_forward -s 192.168.1.2 -d 192.168.1.119 -j

REJECT

一般DROP 是扔掉包，给人的感觉就是，打开这个网页在转圈圈。因为数据包没有送达192.168.1.1，但包是发送了，浏览器是转圈圈

REJECT 就是明确拒绝，浏览器打开192.168.1.1直接说禁止连接。个人一般建议用DROP，让他们自己猜。

sasalemma · 发表于 2021-5-6 23:18

本帖最后由 sasalemma 于 2021-5-6 23:20 编辑

cpx2004 发表于 2021-5-6 22:55
iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -I ...

iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 443 -j DROP
iptables -I zone_lan_input -s 192.168.1.119 -d 192.168.1.1 -p tcp --dport 80 -j DROP
这两条只是禁止连接红米的无线设备访问主路由的web设置页面。web一般用80和443

如果需要禁止红米的无线设备访问主路由lan的设备，需要drop掉红米所有到lan的包

就是

iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.0/24 -j DROP

这个是在lan转发表中仍掉192.168.1.119到 192.168.1.X这个网段访问所有的数据包。

直接插入 FORWARD 表应该也是可以的。

iptables -I FORWARD -s 192.168.1.119 -d 192.168.1.0/24 -j DROP

cpx2004 · 发表于 2021-5-6 23:19

sasalemma 发表于 2021-5-6 23:09
对

-s 源设备，-d 是目标设备，-p 是端口协议，--dport 是目标端口，对应还有一个-sport 是源端口 ...

再次感谢您的答复，太感谢了。我测试了 iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.109 -j DROP
不能限制。

sasalemma · 发表于 2021-5-6 23:23

cpx2004 发表于 2021-5-6 23:19
再次感谢您的答复，太感谢了。我测试了 iptables -I zone_lan_forward -s 192.168.1.119 -d 192.168.1.10 ...

所有规则都是用 iptables 和 ip6tables 设置的，哪怕在防火墙的界面设置的规则，最终也是以这个 iptables 写入规则表的。

建议尝试下不同的转发表。一般限制转发的就那几个表。

ip6tables是配置ipv6那边防火墙的。

账号		自动登录	找回密码
密码			立即注册

怎么限制别人通过wifi访问管理页面

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源