设为首页收藏本站

简体中文 繁體中文 English 日本語 Deutsch 한국 사람 بالعربية TÜRKÇE português คนไทย

切换到窄版

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
恩山无线论坛»论坛 无线设备软件相关板块 OPENWRT专版 Openwrt怎么设置禁止内网登录管理页
广告投放联系QQ68610888
返回列表 发新帖
查看: 4057|回复: 10

Openwrt怎么设置禁止内网登录管理页

[复制链接]
fland***
| 显示全部楼层 |阅读模式
硬件是360T7,刷的是padavanonly/immortalwrt-mt798x自编译的固件,lan接口的ip地址是192.168.1.1,请问要怎么设置防火墙可以只让192.168.1.3能访问路由器的管理页。现已尝试以下方案
第一种:
1.防火墙区域规格设置入站、出站、转发均接受

2.防火墙通讯规则添加一条规则禁止lan区域访问该设备的80、443端口

结果:和未添加时效果一样,所有设备均能访问管理页

      

openwrt 关闭https, openwrt 禁用ipv6

相关帖子

我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

fland***
 楼主| | 显示全部楼层
第二种: 1.防火墙区域规格设置入站拒绝、出站接受、转发接受 2.防火墙通讯规则添加一条规则允许192.168.1.3允许访问该设备 结果:能达到目的,但是无线设备就不能接入网络  现在不清楚是防火墙设置不对还是编译的固件问题,各位大佬禁止内网的其他设备登录管理页都是怎么设置的
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

ga***
来自手机 | 显示全部楼层
在op的INPUT链条上插入两个规则,

先,插入drop 掉所有源地址是 192.168.1.x 的,

然后,插入, ACCEPT 源地址为 192.168.1.3的,

因为后插入的优先执行,
所以,192.168.1.3 可以访问 opw
而其他的 192.168.1.x 不可以访问。

成功后保存一下
iptables-save

或者,写在开机运行脚本里面。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

ga***
来自手机 | 显示全部楼层
iptables -I INPUT -p tcp -s 192.168.1.0/24 -j DROP

iptables -I INPUT -p tcp -s 192.168.1.3 -j ACCEPT

点评

flander_yan
应该drop掉的是80,443,22这些端口的流量,不能全部流量都drop掉  详情 回复 发表于 2024-3-29 07:14
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

阿***
| 显示全部楼层
你说的方法是没错的,把状态--防火墙页面截图
或者运行 iptables-save 或 nft list ruleset 看看实际的防火墙规则是否有误
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

| 显示全部楼层
iptables -I INPUT -p TCP -d 192.168.1.1 --dport 80 -m mac ! --mac-source 11:22:33:44:55:66 -j DROP
禁止MAC地址11:22:33:44:55:66之外的设备访问192.168.1.1的80端口
也就是只有11:22:33:44:55:66能访问192.168.1.1的80端口
记得把11:22:33:44:55:66替换成你自己192.168.1.3的MAC地址

iptables -I INPUT -p TCP -d 192.168.1.1 --dport 80  ! -s  192.168.1.3 -j DROP
禁止192.168.1.3之外的设备访问192.168.1.1的80端口,即只有192.168.1.3能访问192.168.1.1的80


如果你没做DHCP静态分配,那推荐你用第一种方法,毕竟你不能保证你的IP一直是1.3
取消的话,把-I改成-D
iptables -D INPUT -p TCP -d 192.168.1.1 --dport 80 -m mac ! --mac-source 11:22:33:44:55:66 -j DROP
iptables -D INPUT -p TCP -d 192.168.1.1 --dport 80  ! -s  192.168.1.3 -j DROP

点评

flander_yan
我是在Openwrt的luci防火墙页面操作的,你提的方式也就是我一楼提到的方式一,只要lan区域的入站规则是接受,单添加通信规则就无法限制lan区域下的所有终端访问192.168.1.1。  详情 回复 发表于 2024-3-29 07:20
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

fland***
 楼主| | 显示全部楼层
问题解决了,先说解决方法,方式二是没错的,唯一少的步骤是在通信规则里要加上两条规则:1.放行lan网络的53端口,此端口负责dns查询。2.放行lan网络的udp端口67-68,此端口负责dhcp流量通信。放行之后按照方式二就可以实现目的了。感谢大佬们的其他方法,有空再试验
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

fland***
 楼主| | 显示全部楼层
gaze 发表于 2024-3-28 17:09
iptables -I INPUT -p tcp -s 192.168.1.0/24 -j DROP

iptables -I INPUT -p tcp -s 192.168.1.3 -j ACCEP ...

应该drop掉的是80,443,22这些端口的流量,不能全部流量都drop掉

点评

gaze
举例而已,,,没有详细写,, 你要禁止什么功能,就drop掉什么端口 加个 --port 参数  详情 回复 发表于 2024-3-29 08:41
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

fland***
 楼主| | 显示全部楼层
lovecrayfish 发表于 2024-3-28 19:33
iptables -I INPUT -p TCP -d 192.168.1.1 --dport 80 -m mac ! --mac-source 11:22:33:44:55:66 -j DROP
...

我是在Openwrt的luci防火墙页面操作的,你提的方式也就是我一楼提到的方式一,只要lan区域的入站规则是接受,单添加通信规则就无法限制lan区域下的所有终端访问192.168.1.1。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

ga***
来自手机 | 显示全部楼层
你先在ssh的控制台里输入一下这两个命令看看,

-I 表示插入,是在INPUT链条的最前面的,优先于其他的规则。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

ga***
来自手机 | 显示全部楼层
flander_yan 发表于 2024-3-29 07:14
应该drop掉的是80,443,22这些端口的流量,不能全部流量都drop掉

举例而已,,,没有详细写,,

你要禁止什么功能,就drop掉什么端口
加个 --port 参数
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-4-27 14:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-86695797

快速回复 返回顶部 返回列表