2011
01.04

Jeg har længe gået med tanken om at jeg ville lave ip-begrænsning på en internet-service. Problemet har været at jeg simpelthen ikke har været i stand til at finde den rigtige opskrift til min Buffalo DD-WRT router. Jeg har prøvet utallige kombinationer uden held, hvorfor det ikke er lykkedes vides ikke.. Igår havde jeg endelig, havde jeg vil betragte som et gennembrud. Jeg ville forwarde 2 porte til en computer bag min router. Port 2883 og 2884, hvilket faktisk er samme service på min computer. Jeg forwardede først portene via Webgui’en. Derefter lavede jeg limiteringen:

Jeg pastede følgende kommandoer ind via SSH til Buffalo-routeren modificeret med DD-WRT:

Først lukkede jeg portene til computeren med henholdsvis:

iptables -I FORWARD -p tcp -d [ip’en på min computer på mit LAN] –dport 2883 -j logdrop
iptables -I FORWARD -p tcp -d [ip’en på min computer på mit LAN] –dport 2884 -j logdrop

Så lavede jeg portåbningerne fra den givne ip udenfor netværket:

iptables -I FORWARD -p tcp -s [ip udenfor netværk] -d [ip’en på min computer på mit LAN] –dport 2883 -j logaccept
iptables -I FORWARD -p tcp -s [ip udenfor netværk] -d [ip’en på min computer på mit LAN] –dport 2884 -j logaccept

Til sidst lavede jeg en regl, der tillod allerede etableret trafik på portene:

iptables -I FORWARD -p tcp –dport 2883 -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -p tcp –dport 2884 -m state –state RELATED,ESTABLISHED -j ACCEPT

Herefter lod det hele til at virke.

Jeg åbnede derfor DD-WRT gui’en og gemte det som “Firewall”-script under administration.
Da routeren genstartede virkede konfigurationen stadig – og endnu en ting på TODO-listen kunne fjernes..

Endnu engang overrasker DD-WRT mig positivt. Nu er det kun radius-server og OpenVPN-forbindelser jeg mangler at lege med..

Støt

No Comment.

Add Your Comment
*