Dostęp z zewnątrz - OpenWRT?

tenobcy · 3 Listopad 2015 17:15

Witam.
Mam do Was pytanie czy można w OpenWRT (Luci) udostępnić dostęp do konfiguracji rutera ale tylko dla jednego mac adresu z zewnątrz?
Z góry dzięki za odpowiedź.

Heinz · 3 Listopad 2015 17:32

Z zewnątrz inne komputery nie są już widoczne po adresie MAC tylko po IP.
Możesz zezwolić na dostęp jednego lub kilku adresów IP do strony konfiguracyjnej.

tenobcy · 3 Listopad 2015 19:02

Możesz zapodać w jaki sposób to zrobić po IP?

Heinz · 3 Listopad 2015 19:11

Chcesz po polsku czy angielsku?

tenobcy · 3 Listopad 2015 19:13

Wszystko jedno

Heinz · 3 Listopad 2015 19:27

OK
Po zalogowaniu się do LuCi przejdź do Network - Firewall
Trzecia karta - Traffic Rules
Przewiń trochę na dół aż dojdziesz do pola gdzie można dodać własną regułę - Open ports on router:
Wpisz w pola:
Name - Nazwa reguły - dowolna nazwa
Protocol - wystarczy TCP ale możesz zostawić TCP/UDP
External port - port który ma być przekierowany/otwarty bezpośrednio do routera - w tym wypadku HTTPS: 443
Kliknij Add
Do listy powyżej dodaje się Twój wpis, ale trzeba mu nadać trochę ograniczeń w tym celu kliknij EDIT obok wpisu.
Na otworzonej stronie poszukaj wpisu "Source address" i tam wpisz zewnętrzny adres IP który będzie miał dostęp do strony konfiguracyjnej.
Na dole strony kliknij "Save & Apply"
Teraz na liście obok nazwy wpisu powinno pokazać się coś podobnego do:
Any TCP From IP 1.2.3.4 in wan To any router IP at port 443 on this device
Oznacza to ze komputer z zewnętrznym IP 1.2.3.4 zostanie przekierowany do portu 443 na to urządzenie.

tenobcy · 3 Listopad 2015 19:38

Ok dzięki jutro z pracy sprawdzę

Morfik · 4 Listopad 2015 12:16

Jak pakiet idzie przez kilka routerów i dociera do tego twojego, to iptables na twoim routerze widzi MAC ostatniego interfejsu, przez który przeszedł pakiet. Masz przykład:

Wed Nov  4 13:00:39 2015 kern.warn kernel: [ 2029.370000] IN=eth0 OUT= MAC=c4:6e:1f:95:ef:ff:00:17:10:89:06:03:08:00 SRC=68.14.5.148 DST=82.xxx.xxx.xxx LEN=406 TOS=0x00 PREC=0x00 TTL=115 ID=8907 PROTO=UDP SPT=63667 DPT=11111 LEN=386
Wed Nov  4 13:00:39 2015 kern.warn kernel: [ 2029.390000] IN=eth0 OUT= MAC=c4:6e:1f:95:ef:ff:00:17:10:89:06:03:08:00 SRC=2.50.48.187 DST=82.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=26716 PROTO=UDP SPT=62352 DPT=13255 LEN=28
Wed Nov  4 13:00:39 2015 kern.warn kernel: [ 2029.440000] IN=eth0 OUT= MAC=c4:6e:1f:95:ef:ff:00:17:10:89:06:03:08:00 SRC=66.102.1.16 DST=82.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=45 ID=24249 PROTO=TCP SPT=993 DPT=56046 WINDOW=350 RES=0x00 ACK URGP=0

MAC=c4:6e:1f:95:ef:ff:00:17:10:89:06:03:08:00 zawiera dwa adresy MAC: c4:6e:1f:95:ef:ff oraz 00:17:10:89:06:03. Pierwszy z nich jest docelowy, drugi zaś źródłowy. W przypadku tych 3 powyższych połączeń, adresy źródłowe są różne, zatem są to 3 różne maszyny w necie. Niemniej jednak, ciąg MAC jest dokładnie taki sam w każdym przypadku. O ile docelowy MAC jest oczywisty, bo jest to MAC mojego routera, o tyle źródłowy MAC wskazuje na jakaś konkretną maszynę, przez którą pakiety są forwardowane dalej (pewnie router mojego ISP). Dlatego w necie się korzysta głównie z adresów IP. Adresy MAC są dla sieci lokalnych, gdzie odpowiadają tym komputerom, które mają NIC o takich adresach MAC jakie im zostały fabrycznie przypisane.

Zabezpieczenie oparte na MAC i tak jest bez sensu nawet w sieci lokalnej, bo ten adres można bez problemu zespoofować i nie ma żadnych mechanizmów, które by przed tym chroniły i jakoś weryfikowały ten MAC.