要想设备只能访问局域网,有两个方案
1.使用iptables匹配设备MAC地址为XXXXXXXXXXX且目的地址为公网地址的设备若匹配则拒绝
2.使用iptables匹配设备MAC地址为XXXXXXXXXXX且目的地址为局域网地址的设备若匹配接受,在此规则下面添加该MAC地址所有包都丢弃
由于公网IP段不明确,因此我们这里采取第二种方案
1:iptables -I FORWARD -m mac --mac-source 00:0C:29:93:6C:DD -j DROP
2:iptables -I FORWARD -d 192.168.0.0/16 -m mac --mac-source 00:0C:29:93:6C:DD -j ACCEPT
3:iptables -I FORWARD -d 172.16.0.0/12 -m mac --mac-source 00:0C:29:93:6C:DD -j ACCEPT
4:iptables -I FORWARD -d 10.0.0.0/8 -m mac --mac-source 00:0C:29:93:6C:DD -j ACCEPT
以上命令1、2、3、4的顺序为输入命令的顺序,因为iptables最后插入的命令为最顶端,而过滤的顺序为从iptables的第一条往下匹配,如果有一条匹配成功则不再继续匹配,因此
iptables -I FORWARD -m mac –mac-source 00:0C:29:93:6C:DD -j DROP
这条命令一定要最先插入,因为要保证该条规则为最后匹配,如果该规则先匹配的话那么该MAC地址所有的包都将被丢弃,所有网络均不可访问
IPV6公网暴露下的
OPENWRT
防火墙安全
设置
(只
允许
访问
局域网
中指定服务器指定端口其余拒绝)首先是防火墙的常规配置和区域配置
其次是对需要
访问
的端口做
访问
放通
情况1 DDNS位于
openwrt
网关上,外网
访问
openwrt
,通过端口转发
访问
内部服务器。此情况需要
设置
端口转发。情况2DDNS做在服务器上,IPV6直接
访问
服务器,此情况需要
设置
通信规则。
通过这些
设置
我们可以在
openwrt
防火墙上对进出
局域网
流量进行控制。但是服务的安全性还需要依赖https tls 证书 等方法保证在公网的传输安
Openwrt
Lede koolshare固件下屏蔽固定
MAC
地址
以及屏蔽某些网站
屏蔽
局域网
MAC
地址
iptables
-I FORWARD -m
mac
--
mac
-source XX:XX:XX:XX:XX:XX -j DROP
屏蔽
局域网
访问
外网特定网站
iptables
-I FORWARD -d tms.can.cibntv.net -j DROP
iptables
的配置文件在/...
📌
OpenWrt
的定义与核心定位
嵌入式Linux发行版
OpenWrt
是专为路由器等嵌入式
设备
设计的开源操作系统,基于Linux内核,支持高度模块化定制。它提供完整的包管理工具(OPKG)、可读写文件系统及统一的配置接口(UCI),用户可自由安装软件包扩展功能。
解决传统路由器固件封闭、功能受限的问题,提供稳定、可定制且持续更新的替代方案。其核心优势包括:
● 高扩展性:超3000个软件包支持(如VPN服务器、流量控制工具等)。
● 多架构兼容:支持x86、ARM、MIPS、RISC-V等处
openwrt
-智能路由器hack技术(2)---"网路信息监控和窃取"
1 导读
PS:之前写的一个文章,现在发现结构内容排版不是太好,导致阅读体验太差,影响传播和SEO,所以现在整理拆分一下,从小处写起,
本系列介绍了两个关于智能路由器的hack技术,供大家赏玩一下。
本文主要介绍
openwrt
-智能路由器的数据监控功能。(为了维持本文一定的独立性,内容会有所重复)。
前一文...
mac
book中vmware装了个
openwrt
旁路由,桥接到本机的无线网卡,经测试发现:
1、宿主机改网关后,可通过op上网和科学
2、其他无线
设备
改网关不能上网,但是可以ping通op,上op的网页
3、op终端可以ping通其他无线
设备
1、宿主机开启路由转发,ip forward=1。
2、
mac
book 操作https://github.com/Miss-you/completedblog/blob/master/
mac
_os开启路由转发功能.md
3、提示权限不够时,用 sudo su
OpenWrt
防火墙–UCI工具
OpenWrt
防火墙
openwrt
下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以
使用
UCI 进行控制,也可以
使用
vi 编辑器直接修改。
该文件最后会在 /etc/init.d/firewall 启动的时候由 UCI 进行解码并且生成
iptables
规则生效。
openwrt
利用arp获取
局域网
设备
IP
文章目录
openwrt
利用arp获取
局域网
设备
IP1. 前言2. ARP概念3. arp
局域网
搜索
设备
实现思路和代码
1. 前言
目前我们通过arp协议搜索
局域网
设备
,根据
局域网
设备
地址
判断子
设备
是否在线(子
设备
ip为静态ip
地址
),所以这里简单总结一下arp的
使用
。
2. ARP概念
以下内容来自维基百科:
ARP:
地址
解析协议(英语:Address Resolution Protocol,缩写:ARP)是一个通过解析网络层
地址
来找寻数据链路层
地址
的网络传输协
之前配置的服务器,相当于对整个内网都是公开的
而且,除了可以通过80端口的nginx来间接
访问
各项服务,也可以绕过nginx,直接ip
地址
加端口
访问
对应
服务
这是不对的啊,所以我们要做一些限制
因为只是对特定的人提供服务,而且
局域网
IP和
MAC
都是固定的,所以可以直接用白名单,其他的全部拒绝
/**************************************
使用
ngi...
在
OpenWRT
路由器上
设置
只
允许
访问
特定网站的防火墙规则,通常是在`UFW (Uncomplicated Firewall)`工具中操作。以下是一个基本步骤:
1. 登录到
OpenWRT
管理界面:通过Web浏览器
访问
路由器的IP
地址
,默认可能是`http://192.168.1.1`或`http://router_ip`,然后输入用户名和密码。
2. 安装并启用UFW:在终端中运行`su -l root`切换到root权限,然后输入`opkg update && opkg install ufw`安装UFW,之后输入`uci enable firewall`启用它。
3.
设置
端口转发:如果你想限制的是HTTP(S)流量,你需要将80(HTTP)或443(HTTPS)端口映射到内网的一个服务器。例如,如果服务器在内网IP `192.168.1.100`,你可以用`ufw allow from any to any port 80:80 proto tcp`。
4. 添加URL
过滤
规则:UFW本身并不直接支持针对特定网站的规则,但是你可以配合`
iptables
` 或其他应用如`pi-hole`来阻止除指定网站外的所有请求。例如,可以
使用
`dnsmasq`配合`blocklist.txt`文件来阻止黑名单中的域名。
5. 配置DNS
过滤
:在
OpenWRT
上安装`dnsmasq`,并在`/etc/dnsmasq.conf`中加入`domain-needed`和`bogus-priv`选项,然后创建一个阻断列表文件`/etc/dnsmasq/blocklist.txt`,添加需要阻止的域名,然后重启`dnsmasq`服务。
```bash
sudo nano /etc/dnsmasq.conf
添加以下内容:
domain-needed
bogus-priv
no-resolv
dhcp-option=option:blocklists,"/etc/dnsmasq/blocklist.txt"
6. 保存并重启服务:对`dnsmasq.conf`进行保存并重启服务,如`sudo service dnsmasq restart`。
不会飞的pig:
OpenWRT使用iptables设置只允许MAC地址对应设备访问局域网
一般折腾的小白:
OpenWRT 路由器实现浏览器下载文件到计算机
仰望星空787:
