У меня есть Openwrt Router в Config по умолчанию плюс эти изменения: Lan Network - 192.168.1.0/24 Admin Network - 193.168.2.0/24 Wan Network - 192.168.0.0/24
Iptables
По умолчанию Вперед Запретить
Администратор +Lan
Форвард Дени
Разрешить вход / выход
Lan to Wan Вперед Разрешить
Ван
Вход запретить
Разрешить вывод
Маскировка
Dropbear
Слушайте только через интерфейс администратора
РЕДАКТИРОВАТЬ: переключатель на самом деле разделен на 3 сегмента с нетегированными Vlans. Ван, Лан, Админ. Таким образом, разные интерфейсы не все на одном устройстве уровня 2.
Когда я подключаю свой ноутбук к интерфейсу локальной сети, я не могу получить доступ к устройствам в зоне администратора, как ожидалось. Но если это IP-адрес самого маршрутизатора, я могу связаться с ним в каждой подсети. Таким образом, я могу подключиться к сервисам на всех IP-адресах маршрутизатора. 192.168.0.2, 192.167.1.1, 192.168.2.1
Если я сделаю ssh user@192.168.1.1 -> соединение отклонено
Если я делаю ssh user@192.168.2.1 -> я получаю работающее соединение ssh.
Я не хочу, чтобы сервис ssh был доступен из Lan. Или в этом отношении никакой сетевой сервис в другой подсети, чем предполагалось. Что мне не хватает, чтобы такое различие зон работало даже на собственных IP-адресах маршрутизаторов?
Я использовал правило Iptables, чтобы заблокировать все, от lan, идущего до 192.168.2.1. Это работает, но я хочу настройку, которая предотвращает это для всех будущих сетей.