Toon posts:

[OpenWRT] Alle toegang naar externe addressen blokkeren

Pagina: 1
Acties:

Vraag

zondag 6 maart 2022 20:24

Acties:
  • 0 Henk 'm!
  • Amanoo
  • Registratie: December 2007
  • Laatst online: 27-08 23:03

Amanoo

Cᴀᴛs ᴀʀᴇ ɴɪᴄᴇ.

Topicstarter
Ik heb een router met OpenWRT erop. Nu is mijn bedoeling dat apparaten die ermee verbonden zijn (bijvoorbeeld Tuya) geen communicatie met het internet hebben. Als het goed is kan Home Assistant wel een Tuya server emuleren. Alleen communicatie met apparaten op 192.168.1.X mag worden toegestaan. Nu lukt het me nog niet helemaal om dit te bewerkstelligen. Ik heb op basis van deze link hetvolgende ingevoerd bij Firewall - Custom Rules:
code:
1
2
3
4
5

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT


Een andere poging:
code:
1
2
3
4
5
6
7

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP

Om een of andere reden heb ik gewoon nog toegang tot internet als ik nu mijn telefoon ermee verbind en wat probeer te browsen.

Alle reacties

maandag 7 maart 2022 13:02

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 07:31

MasterL

Moderator Internet & Netwerken
Ziet eruit als "normale" iptables rules, echter voor internet access zit je normaal gesproken in de "forward" chain.

Input: Alle packets die binnen komen op (de ip-adressen) van jou router zelf.
Output: Alle packets van je router naar "de rest"
Forward: Alle packets van een "3de" apparaat/Ip-adres naar een "3de" apparaat/Ip-adres (bijvoorbeeld client > internet)

maandag 7 maart 2022 13:53

Acties:
  • 0 Henk 'm!
  • W1ck1e
  • Registratie: Februari 2008
  • Laatst online: 06:51

W1ck1e

Kan je er niet voor zorgen dat de dhcp clients geen gateway adres krijgen ?
Dan weten die niet hoe ze naar internet moeten.

maandag 7 maart 2022 14:29

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

W1ck1e schreef op maandag 7 maart 2022 @ 13:53:
Kan je er niet voor zorgen dat de dhcp clients geen gateway adres krijgen ?
Dan weten die niet hoe ze naar internet moeten.
En dan blijkt SLAAC al aan te staan

QnJhaGlld2FoaWV3YQ==

maandag 7 maart 2022 14:37

Acties:
  • 0 Henk 'm!
  • W1ck1e
  • Registratie: Februari 2008
  • Laatst online: 06:51

W1ck1e

het was maar een idee

maandag 7 maart 2022 16:46

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 07:31

MasterL

Moderator Internet & Netwerken
Brahiewahiewa schreef op maandag 7 maart 2022 @ 14:29:
[...]

En dan blijkt SLAAC al aan te staan
Inderdaad ook even de rules in "ip6tables" aanpassen.

vrijdag 11 maart 2022 20:18

Acties:
  • 0 Henk 'm!
  • Amanoo
  • Registratie: December 2007
  • Laatst online: 27-08 23:03

Amanoo

Cᴀᴛs ᴀʀᴇ ɴɪᴄᴇ.

Topicstarter
MasterL schreef op maandag 7 maart 2022 @ 13:02:
Ziet eruit als "normale" iptables rules, echter voor internet access zit je normaal gesproken in de "forward" chain.

Input: Alle packets die binnen komen op (de ip-adressen) van jou router zelf.
Output: Alle packets van je router naar "de rest"
Forward: Alle packets van een "3de" apparaat/Ip-adres naar een "3de" apparaat/Ip-adres (bijvoorbeeld client > internet)
code:
1
2
3
4

iptables -I FORWARD -p icmp -j ACCEPT
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -d 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -j REJECT

Deze werkt ook niet. Ook niet met -A.

Mensen hebben het over gateway adressen, maar moet ik die dan foutief invullen of leeglaten? In dat geval, kunnen apparaten nog wel met elkaar praten? Een firewall lijkt mij wel een elegantere methode. Alleen wil dat dus niet werken.

maandag 14 maart 2022 15:18

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 07:31

MasterL

Moderator Internet & Netwerken
Amanoo schreef op vrijdag 11 maart 2022 @ 20:18:
[...]

code:
1
2
3
4

iptables -I FORWARD -p icmp -j ACCEPT
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -d 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -j REJECT

Deze werkt ook niet. Ook niet met -A.
Voor IPtables zou zoiets moeten werken:

iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -P FORWARD DROP

Ik heb 0 ervaring met OpenWRT maar weet je zeker dat OpenWRT wel Iptables gebruikt (onder water vast wel)?
Jouw link spreekt over IPtables, waar ik van uit ging. Maar op de site van OpenWRT lees ik fw3:
https://openwrt.org/docs/...ll/firewall_configuration

Welke toch een andere syntax lijkt te hebben.
Amanoo schreef op vrijdag 11 maart 2022 @ 20:18:
Mensen hebben het over gateway adressen, maar moet ik die dan foutief invullen of leeglaten? In dat geval, kunnen apparaten nog wel met elkaar praten? Een firewall lijkt mij wel een elegantere methode. Alleen wil dat dus niet werken.
Dit is een beetje hetzelfde als wat @W1ck1e voorstelde, het probleem hiermee is dat als "iemand" alsnog een gateway adres invuld deze gewoon "internet" hebben. En ja alle apparaten binnen 1 subnet (bijvoorbeeld 192.168.1.0/24) kunnen zonder gateway met elkaar praten. Al het verkeer buiten het subnet
(bijvoorbeeld 192.168.2.0/24...) gaat naar de default gateway. Verkeer binnen een subnet is dus ook erg last te firewallen bijvoorbeeld. Kan prima maar dat laat ik voor nu even voor wat het is.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq