OpenWRT. Tips & Tricks

• Проброс сетевого порта к компьютеру в LAN’ке.

Вносим дополнение в конфигурационный файл фервола (/etc/config/firewall)

config 'redirect'     option 'src' 'wan'     option '_name' 'web'     option 'proto' 'tcp'     option 'src_dport' '80'     option 'dest_ip' '192.168.0.200'     option 'dest_port' '80'

• Боремся с “Rejected request from RFC1918 IP to public server address”

Дополняем файл /etc/firewall.user (после этого не забываем выполнить /etc/init.d/firewall restart)

iptables -t nat -A prerouting_rule -d XX.XX.XX.XX -p tcp --dport 80 \         -j DNAT --to 192.168.0.YY iptables -A forwarding_rule -p tcp --dport 80 -d 192.168.0.YY -j ACCEPT iptables -t nat -A postrouting_rule -s 192.168.0.0/24 -p tcp --dport 80 \         -d 192.168.0.YY -j MASQUERADE

где XX.XX.XX.XX – WAN IP адрес, 192.168.0.YY – Внутренний IP адрес машины на которую мы заходим из вне.

• Блокируем доступ в WAN зону по маку.

Вносим дополнение в конфигурационный файл фервола (/etc/config/firewall)

config rule         option src              lan         option dest             wan         option src_mac          00:00:00:00:00         option target           REJECT

• Конфигурация DMZ

Вносим дополнение в конфигурационный файл фервола (/etc/config/firewall)

config redirect     option src              wan     option proto            all     option dest_ip          192.168.0.200

• Блокируем доступ по портам

Для внесени запрета к доступу по определенным сетевым портам портам вносим дополнение в /etc/iptables.user (после этого не забываем выполнить /etc/init.d/firewall restart)

iptables -A forwarding_rule -p tcp --dport 5000:5800 --jump REJECT

Здесь мы заблокировали диапазон портов с 5000 по 5800

• Разрешаем доступ в интернет только определенным макам

iptables -A forwarding_rule -m mac --mac-source NN:NN:NN:NN:NN:NN - j ACCEPT iptables -A forwarding_rule -m mac --mac-source MM:MM:MM:MM:MM:MM - j ACCEPT iptables -A forwarding_rule -j DROP