LINUX.ORG.RU
решено ФорумAdmin

dd-wrt gw wan filtering


0

0

Всем привет.

У меня локалка 192.168.1.0/24, аппаратный шлюз 192.168.1.1. Надо для другой неподконтрольной НЕдоверенной сети (192.168.2.0/24 например) дать доступ в интернет, т.е. к шлюзу, но не ко всей моей сети.

Пока экспериментирую с железкой с dd-wrt 14896, на ней уже все настроил, «они» за NAT-ом, «мы» для них являемся WAN-ом, интернет у них есть, как и доступ к нашей сети. Нужно его запретить. Как?

Будь там бсда, я бы сказал что-то вроде «deny ip from any to 192.168.1.0/24 via wan0» после реинжекта из natd, но там не бсда.

UPD: глупая была затея, лучше подскажите как изолировать LAN-порты на DIR-300 с прошивкой DD-WRT v24-sp2?

★★

Последнее исправление: arturpub (всего исправлений: 1)

>deny ip from any to 192.168.1.0/24 via wan0
iptables -A FORWARD -s zlie_sosedi/mask -d localnet/mask -j DROP
чтбы подробнее разобраться, приведите с железки
iptables -nvL
iptables -nvL -t nat
ip a (ifconfig)
ip ro (netstat -nr)

fr_butch
()
Ответ на: комментарий от fr_butch

Спасибо. Я сразу не сообразил про форвард, думал на инпуте зарезать. Итог таков:

iptables -I FORWARD -d mysubnet -j DROP
(Administration - Commands - ... - Save firewall)

arturpub ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.