บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

iptables: วิธีบล็อก UDP ระหว่างอุปกรณ์บนฝั่ง LAN ของเกตเวย์ (โดยใช้เฟิร์มแวร์ dd-wrt)

ธง cn
Grumpy Curmudgeon

เป้าหมาย: เพื่อบล็อกการรับส่งข้อมูล UDP ไปยังอุปกรณ์บนฝั่ง LAN ของเกตเวย์นี้ (โดยใช้เฟิร์มแวร์ dd-wrt) ที่สื่อสารกับอินเทอร์เน็ตและระหว่างกัน เพื่อทดสอบแอปพลิเคชันการสื่อสารเฉพาะที่ทำงานบนอุปกรณ์แต่ละเครื่อง

ข้อยกเว้น: อนุญาตให้ใช้ UDP ขั้นต่ำที่จำเป็นในการสนับสนุนการทำงานของเครือข่ายขั้นพื้นฐานสำหรับอุปกรณ์เหล่านี้เพื่อดำเนินการสื่อสาร (เช่น: ผ่าน TCP) กับอินเทอร์เน็ตและระหว่างกัน

สิ่งที่ฉันได้ลองไปแล้ว: เพิ่มกฎ (ผ่านเซสชัน SSH) บนเราเตอร์/เกตเวย์นี้:

iptables -I FORWARD -p udp -j DROP 
iptables -I อินพุต -p udp -j DROP

สังเกต (สิ่งที่ได้ผลดี):

  • กฎ iptables -I FORWARD -p udp -j DROP บล็อกอุปกรณ์ในฝั่ง LAN ไม่ให้สื่อสารผ่าน UDP กับอุปกรณ์ในฝั่ง WAN ได้สำเร็จ ซึ่งตรวจสอบโดยไม่สามารถสื่อสารระหว่างอุปกรณ์เหล่านี้ด้วยยูทิลิตี้ ncat -u.

สังเกต (สิ่งที่ไม่ทำงาน):

  • อุปกรณ์บนฝั่ง LAN สามารถสื่อสารระหว่างกันโดยใช้ UDP:
    • บนอุปกรณ์ 1 (บนฝั่ง LAN): ncat -lvu # เปิดตัวฟัง ncat โดยใช้ UDP บนพอร์ตเริ่มต้น 31337
    • บนอุปกรณ์-2 (บนฝั่ง LAN): ncat -vu <ip-addr-device-1> # เปิดตัวผู้โทร ncat โดยใช้ UDP บนพอร์ตเริ่มต้น 31337

ความคาดหวัง (ผลลัพธ์ที่ต้องการ):

  • ผู้โทร ncat บนอุปกรณ์-2 ไม่สามารถ เพื่อสื่อสารโดยใช้ UDP เพื่อ ncat ผู้ฟังบนอุปกรณ์ 1
  • ผู้โทร ncat บนอุปกรณ์-2 สามารถ เพื่อสื่อสารโดยใช้ TCP เพื่อฟัง ncat บนอุปกรณ์ 1 โดยไม่ใช้ ncat param -ยู.

ข้อมูลเพิ่มเติม:

  • โดยใช้คำสั่ง iptables -I อินพุต -p udp -j DROP ส่งผลกระทบต่อการสื่อสารอื่นๆ มากเกินไป แต่ยังไงก็ตาม เพื่อแสดงให้เห็นถึงความไม่มีประสิทธิภาพของกฎนี้ในการป้องกันการสื่อสาร UDP ระหว่างอุปกรณ์ทั้งสองนี้
  • ใช้ฮาร์ดแวร์: tp-link AC1750 (Archer C7 v5)
  • ใช้เฟิร์มแวร์: dd-wrt พร้อมการตั้งค่า "โหมดการทำงาน = เกตเวย์"
  • อุปกรณ์ที่อยู่หลังเกตเวย์ ได้แก่ UWP, iOS, Android ตัวอย่างที่ให้ไว้ที่นี่โดยใช้อุปกรณ์ UWP (Windows 10)
  • ฉันเคยเห็น ฉันจะบล็อก UDP ในขณะที่ยังอนุญาตการเชื่อมต่อ UDP ขาออกกับ iptables ได้อย่างไรแต่ดูเหมือนจะไม่ได้ผลในกรณีของฉัน ดังที่แสดงโดยการพยายาม iptables -I อินพุต -p udp -j DROP.
123
0 + 0
A.B avatar
cl flag
A.B
ตรวจสอบ [ebtables](https://web.archive.org/web/20210902064033/https://ebtables.netfilter.org/) และหากคุณยืนยันว่าใช้เครื่องมือผิด ต่อไปนี้คือเชือกสำหรับแขวนคอ: [br_netfilter] (https://web.archive.org/web/20210529184120/http://ebtables.netfilter.org/documentation/bridge-nf.html) ยกเว้น [ปิดใช้งาน](https://openwrt.org/docs/guide -user/firewall/firewall_components#kernel_tuning_via_sysctl) ใน OpenWRT ดังนั้นอาจอยู่ใน DD-WRT ด้วย
0
ตอบกลับ
Ron Maupin avatar
us flag
Ron Maupin
ทราฟฟิกแบบบริดจ์ (โดเมนเลเยอร์ 2 เดียวกัน) ไม่ผ่านเราเตอร์ ดังนั้นคุณจึงไม่สามารถใช้เราเตอร์เพื่อบล็อกทราฟฟิกได้ สวิตช์หรือ WAP เป็นบริดจ์แบบเลเยอร์ 2
0
ตอบกลับ
Score:1
avatar Server
ธง us
Tero Kilkanen

เป็นไปได้มากว่าคุณไม่สามารถรบกวนทราฟฟิก LAN-to-LAN ได้ อุปกรณ์ทั้งหมดที่ฉันรู้ว่าเรียกใช้ DD-WRT / OpenWRT มีสวิตช์ในตัว ซึ่งสลับการรับส่งข้อมูลโดยตรงระหว่างอุปกรณ์ LAN บนเลเยอร์ 2

เฉพาะการรับส่งข้อมูลที่ต้องการส่งต่อเท่านั้นที่จะถูกส่งผ่านไปยังส่วนของเราเตอร์ (ชั้นที่ 3) ของระบบ โดยที่ Netfilter สามารถสกัดกั้นการรับส่งข้อมูลได้

คุณสามารถลองตั้งค่ากล่อง Linux ด้วยอะแดปเตอร์อีเทอร์เน็ตหลายตัว จากนั้นเชื่อมต่ออะแดปเตอร์เหล่านั้นเข้าด้วยกัน จากนั้นคุณสามารถใช้ br_netfilter เพื่อบังคับให้ทราฟฟิก L2 ผ่าน Netfilter ทำให้สามารถสกัดกั้นทราฟฟิกได้

0 + 0
cn flag
Grumpy Curmudgeon
คำตอบนี้ได้รับการยืนยันโดยความคิดเห็นจาก @ron-maupin และทั้งคู่ฟังดูสมเหตุสมผลสำหรับฉัน เพื่อแก้ปัญหาของฉัน: ฉันจะวางอุปกรณ์อื่นไว้หลังเราเตอร์ที่แตกต่างกัน ซึ่งหมายความว่ากฎในตาราง `FORWARD` ควรมีผลในการบล็อก UDP ระหว่างอุปกรณ์เหล่านี้ .. ขอบคุณ!
1
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา