Điểm:0

Server

iptables: Cách chặn UDP giữa các thiết bị ở phía mạng LAN của cổng (sử dụng chương trình cơ sở dd-wrt)

Grumpy Curmudgeon

19:10, 10/03/2023

Ghi bàn: Để chặn lưu lượng truy cập UDP đến các thiết bị ở phía mạng LAN của cổng này (sử dụng chương trình cơ sở dd-wrt), giao tiếp với internet và với nhau, để kiểm tra các ứng dụng giao tiếp cụ thể đang chạy trên từng thiết bị.

ngoại lệ: cho phép UDP tối thiểu cần thiết để hỗ trợ các hoạt động mạng cơ bản để các thiết bị này tiếp tục liên lạc (ví dụ: qua TCP) với internet và với nhau.

Những gì tôi đã cố gắng cho đến nay: Đã thêm quy tắc (thông qua phiên SSH) trên bộ định tuyến/cổng này:

iptables -I FORWARD -p udp -j DROP 
iptables -I INPUT -p udp -j DROP

Đã quan sát (những gì đang hoạt động tốt):

quy tắc iptables -I FORWARD -p udp -j DROP chặn thành công các thiết bị ở phía LAN giao tiếp qua UDP với các thiết bị ở phía WAN, như đã được xác minh bằng việc không thể giao tiếp giữa các thiết bị này với tiện ích ncat -u.

Đã quan sát (những gì không hoạt động):

Các thiết bị trên mạng LAN có thể giao tiếp với nhau bằng UDP:
- Trên thiết bị-1 (ở phía mạng LAN): ncat -lvu # khởi chạy trình nghe ncat bằng UDP trên cổng mặc định 31337
- Trên thiết bị-2 (ở phía mạng LAN): ncat -vu <ip-addr-device-1> # khởi chạy trình gọi ncat bằng UDP trên cổng mặc định 31337

Kỳ vọng (kết quả mong muốn):

người gọi ncat trên thiết bị-2 không thể để giao tiếp bằng UDP với trình nghe ncat trên thiết bị-1.
người gọi ncat trên thiết bị-2 có thể để giao tiếp bằng TCP với trình nghe ncat trên thiết bị-1, bằng cách không sử dụng tham số ncat -u.

thông tin bổ sung:

Sử dụng lệnh iptables -I INPUT -p udp -j DROP tác động quá nhiều đến giao tiếp khác, nhưng dù sao cũng được sử dụng, để chứng minh quy tắc này không hiệu quả trong việc ngăn chặn giao tiếp UDP giữa hai thiết bị này.
Sử dụng phần cứng: tp-link AC1750 (Archer C7 v5)
Sử dụng phần sụn: dd-wrt, với cài đặt "Chế độ điều hành = Cổng"
Các thiết bị phía sau cổng là UWP, iOS, Android. Các ví dụ được đưa ra ở đây sử dụng thiết bị UWP (Windows 10).
tôi đã thấy Làm cách nào để chặn UDP trong khi vẫn cho phép kết nối UDP ra bên ngoài với iptables?, nhưng không có vẻ hiệu quả trong trường hợp của tôi, như đã được chứng minh bằng cách thử iptables -I INPUT -p udp -j DROP.

123

0 + 0

iptables

chặn

A.B

19:42, 10/03/2023

Hãy kiểm tra [ebtables](https://web.archive.org/web/20210902064033/https://ebtables.netfilter.org/) và nếu bạn khăng khăng sử dụng sai công cụ, thì đây là sợi dây để tự treo cổ: [br_netfilter] (https://web.archive.org/web/20210529184120/http://ebtables.netfilter.org/documentation/bridge-nf.html) ngoại trừ nó [đã tắt](https://openwrt.org/docs/guide -user/firewall/firewall_components#kernel_tuning_via_sysctl) trong OpenWRT nên cũng có thể có trong DD-WRT.

Hồi đáp

Ron Maupin

20:32, 10/03/2023

Lưu lượng bắc cầu (cùng miền lớp 2) không đi qua bộ định tuyến, do đó bạn không thể sử dụng bộ định tuyến để chặn lưu lượng. Công tắc hoặc WAP là cầu nối lớp 2.

Hồi đáp

Điểm:1

Server

Tero Kilkanen

20:29, 10/03/2023

Nhiều khả năng bạn không thể can thiệp vào lưu lượng LAN-to-LAN. Tất cả các thiết bị mà tôi biết chạy DD-WRT/OpenWRT đều có một bộ chuyển mạch tích hợp, chuyển đổi lưu lượng trực tiếp giữa các thiết bị LAN trên lớp 2.

Chỉ lưu lượng cần chuyển tiếp mới được chuyển đến phần bộ định tuyến (lớp 3) của hệ thống, nơi Netfilter có thể chặn lưu lượng.

Bạn có thể thử thiết lập một hộp Linux có nhiều bộ điều hợp Ethernet rồi kết nối các bộ điều hợp đó với nhau. Sau đó, bạn có thể sử dụng br_netfilter để buộc lưu lượng L2 đi qua Netfilter, cho phép chặn lưu lượng.

0 + 0

Grumpy Curmudgeon

16:45, 15/03/2023

Câu trả lời này dường như được chứng thực bởi nhận xét từ @ron-maupin và cả hai đều hợp lý đối với tôi. Để giải quyết vấn đề của tôi: Tôi sẽ đặt các thiết bị khác phía sau các bộ định tuyến khác nhau, điều đó có nghĩa là các quy tắc trong bảng `FORWARD` sẽ có hiệu quả trong việc chặn UDP giữa các thiết bị này.. Cảm ơn!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: iptables: How to block UDP between devices on LAN-side of gateway (using dd-wrt firmware)

TH: iptables: วิธีบล็อก UDP ระหว่างอุปกรณ์บนฝั่ง LAN ของเกตเวย์ (โดยใช้เฟิร์มแวร์ dd-wrt)

RO: iptables: Cum să blochezi UDP între dispozitive de pe partea LAN a gateway-ului (folosind firmware dd-wrt)

RU: iptables: как заблокировать UDP между устройствами на стороне LAN шлюза (используя прошивку dd-wrt)

VI: iptables: Cách chặn UDP giữa các thiết bị ở phía mạng LAN của cổng (sử dụng chương trình cơ sở dd-wrt)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.