DDWRT - Виртуальный интерфейс - команда брандмауэра - RDP


1

У меня на моем маршрутизаторе Linksys e2500v3 мелькнуло DD-WWRT.

Я добавил виртуальный интерфейс для создания гостевой сети Wi-Fi, которая будет иметь доступ к Интернету, но не к частной сети или маршрутизатору.

На этом этапе гостевая сеть может получить доступ к Интернету, но когда я пытаюсь выполнить RDP с ПК в моей частной сети (вне маршрутизатора ddwrt) на другой ПК в частной сети (который получает свой IP от маршрутизатора ddwrt), он не ' т работа.

Я сузил это до этой команды:

    iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`

Когда эта команда закомментирована или удалена, предположим, что в сети больше нет доступа к Интернету, но я могу подключиться к ПК, подключенному к частной сети маршрутизатора ddwrt, с другого компьютера в моей частной сети (независимо от подсети).

Когда команда активна, гостевая сеть имеет Интернет, но не может RDP.

Настройка на маршрутизаторе DDWRT:

WAN: disabled
LAN IP: 192.9.202.250 (was an available IP on my network)
DHCP range:  192.9.202.160-192.9.202.165
Private WIFI: wl0
Guest WIFI: wl0.1
Created bridge: br1 (IP 192.168.5.100)
Assigned bridge: br1 assigned to wl0.1
DNSMasq:

    #Enables DHCP on br1
     interface=br1
    #Set the default gateway for br1 clients
     dhcp-option=br1,3,192.168.10.100
    #Set the DHCP range and default lease time of 24 hours for br1 clients
     dhcp-range=br1,192.168.10.101,192.168.10.105,255.255.255.0,24h

Firewall commands:

    #Allow guest bridge access to Internet
    iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
    iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

    #Block access between private and guest
    iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
    iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP

    #NAT to make Internet work
    iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`

    #Block guest access to router services
    iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
    iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Целевой ПК - 192.9.202.165

Исходный ПК - 192.9.202.140 (этот IP-адрес предоставляется главным маршрутизатором, а не маршрутизатором ddwrt)

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.