У меня есть ситуация, в которой я должен создать изолированную подсеть, которая имеет доступ в Интернет через другую подсеть. Картина могла бы показать это более ясно.

                                  192.168.5.1
                    LAN               LAN
Internet  +----------+       +----------+      +--------+
     <----+ Router 1 +-------+ Router 2 +------+Device 2|
          | No access|       | OpenWRT  |      |        |
          +------+---+       +----------+      +--------+
              LAN|          WAN                192.168.5.5
                 |       192.168.1.20
            +----+---+
            |Device 1|
            |        |
            +--------+
         192.168.1.50-100

Мне нужно, чтобы Device 2 не имело доступа к любому устройству в сети 192.168.1.0, но все еще имело доступ к Интернету.

Я не могу коснуться Router 1 и это должно быть достигнуто настройками на Router 2 .

Настройки по умолчанию в /etc/config/firewall пересылают все из локальной сети в глобальную, что приводит к тому, что устройство 1 может пропинговать устройство 2.

Я пытался ограничить это следующим правилом:

config rule                                 
        option src lan                                     
        option dest wan                         
        option dest_ip 192.168.1.50            
        option target REJECT

Но это не помогло. Можете ли вы указать мне правильное направление?

Помимо настройки параметров брандмауэра, может ли это (концептуально) быть взломано статической маршрутизацией, если для всех маршрутов установить значение 192.168.1.0/24 на какую-то фальшивую точку?

|источник

1 ответ1

0

Как правило, вы делаете назначение сетевых подсетей на основе количества битов. Например, с 192.158.1.64 по 192.158.1.128. Однако ваше правило должно блокировать адрес .50. Если вам нужно заблокировать подсеть, добавьте количество битов, как в примере ниже:

config rule
    option name     example rule
    option src      lan
    option family   ipv4
    option proto    all
    option dest     wan
    option dest_ip  192.168.1.64/26
    option target   REJECT

В вашем случае: я бы, вероятно, заблокировал всю сеть 192.168.0/24.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .