Заранет пристап на LAN од WRT54GL -прашање

[igorkrst]

Имам Линксис безжичен (моделот е во насловот) и на него ddwrt v23 SP2. Ставен е кај мене во фирма. Намесетен е така што во WAN портата е поврзан на LAN-от од фирма и има на тој интерфејс адреса од ланот на фирмата. На weireless и 4-те лан од порти од рутерчето, добива друг пул адреси од вградениот DHCP на рутерчето.
Прашањето гласи:
Како клиентите што ќе се закачат безжично да немаат пристап до остатокот на мрежата на фирмата, туку само интернет пристап.

После многу пробување заклучив дека било која адреса од било која класа да ја ставам да ја дава DHCP на рутерчево, ја рутира во адреса на LAN-от од фирмава.
Има ли некоја опција на рутеров да ги праќа само до гејтвејот сите адреси од неговиот ДХЦП пул?
Или пак може се решава некако со Blocked services, што знам некои портови да забранам или само да дозволам некои?

Некоја идеја ?
фала

 

[Vick]

Sto imas vo taa mreza?! Polesno e da zabranis WAN adresata na ruterot da nema pristap do resursite na mrezata naprimer local FTP, HTTP, Sharing (a sharingot pozadi NAT ne se gleda) ili bilo sto drugo, a samo pristap do internet. Ako sakas podetaljen odgovor daj podedaljna informacija sto tocno sakas.

 

[vlatkorun]

Pa jas kako so znam za tvojo model na ruter toj izobiluva so napredni opcii osobeno za stavanje na nekoj vid na ACL na nekoj od portovite kako so e WAN port u tvojo slucaj.



Nemam Linksys, na mojot ruter D-Link inace ja imam ovaa opcija i koa jas bi bil u takva situacija bi postavil na primer source interface da bide Lan so range na IP adresite sto gi dava ruterot a destination da bide Wan so range na IP adresite na klientite na LAN kaj tebe na rabota.Protocol bi selektiral all.
Mora da ima nekoja takva opcija i kaj tebe na Linksys-ot.Razgledaj.

 

[igorkrst]

Има опција за да избереш опсег на ИП адреси и тоа го направив. Истотака има опција за забрана на некои порти или опсег на порти, да не ги пропушта низ рутер. Значи на закачените на WLAN им забранив ТЦП 445, 135, 139, телнет и сега немаат пристап на било што шерувано, ама пак ме јаде јанѕа...има други портови низ кои можзт да дојдат напади. Иначе ЛАН-от е само фајл сервери, ДЦ, кои не „гледаат надвор“. Значи да ги заштитам нив од некој закачен на вајлрлес, иако користам најјака заштита.

Може треба да одам обратно: да пропуштам само 80, ев. 8080, поп3, смтп тие порти а друго за забранам. Не знам колку тоа ке влијае на корисниците, има разни IM клиенти ...не користат сите само 80-ка.

Не знам дали бев јасен: LAN портите на линксисот се празни и небитни, на WAN портата е штекнато кабел од мрежата на фирмата која има ресурси кои не треба да бидат пристапни. На wifi се закачуваат корисници кои треба само да сурфаат, користат ИМ клиенти, евентуално ако има некој маил клиент да си спушти пошта, пристап до страни со сертификат...

 

[Vick]

80, 53, 443, a cim sakas i pop3 - 110, 995 TCP/UDP , smtp - 25 TCP/UDP. Messenger-ite se butat nekade pomegju 1024 i 5555, ama tie se snaodlivi gadini i za Skype i ICQ, znam deka rabotat i na 80, za drugite ne sum se interesiral.

 

[igorkrst]

80, 53, 443, a cim sakas i pop3 - 110, 995 TCP/UDP , smtp - 25 TCP/UDP. Messenger-ite se butat nekade pomegju 1024 i 5555, ama tie se snaodlivi gadini i za Skype i ICQ, znam deka rabotat i na 80, za drugite ne sum se interesiral.

знам за торент клиентиве дека мењаат портови, еден другар се заинати и само што ќе замени еден порт ќе се прафрли на друг ... и стигна до 80-ка. Ај забрани го него... )

 

[vlatkorun]

Nema potreba da zabranuvas/dozvoluvas odreden range na porti.
Stavajki vo Destination IP - range na Ip adresite na Lanot na koj ne treba da se pristapi, a
vo Source IP - range sto wireless klientite go dobivaat od Linksys DHCP-to ke
napravis ACL taka koa ke saka nekoj od wireless da komunicira so dest. nekoja IP adresa od LAN-ot na firmata poradi ova gore praviloto ruterot ke go ponisti sekoj paket.
davanjeto dozvola za odredeni porti ili zabrana na nekoi ke ti ja komplicira konfiguracija, na ovoj nacin so edno pravilo ke dozvolis komunikacija na wireless klientite kon internet, a u isto vreme nema da mozat da pristapat na LAN.

 

[spiderman]

Имам Линксис безжичен (моделот е во насловот) и на него ddwrt v23 SP2. Ставен е кај мене во фирма. Намесетен е така што во WAN портата е поврзан на LAN-от од фирма и има на тој интерфејс адреса од ланот на фирмата. На weireless и 4-те лан од порти од рутерчето, добива друг пул адреси од вградениот DHCP на рутерчето.
Прашањето гласи:
Како клиентите што ќе се закачат безжично да немаат пристап до остатокот на мрежата на фирмата, туку само интернет пристап.

После многу пробување заклучив дека било која адреса од било која класа да ја ставам да ја дава DHCP на рутерчево, ја рутира во адреса на LAN-от од фирмава.
Има ли некоја опција на рутеров да ги праќа само до гејтвејот сите адреси од неговиот ДХЦП пул?
Или пак може се решава некако со Blocked services, што знам некои портови да забранам или само да дозволам некои?

Некоја идеја ?
фала

За да вработените во фирма кај тебе да имаат интернет а да немаат пристап на локалната мрежа треба да инсталираш две мрежни картици : едната за интернет а другата за LAN пристап. Сетинзите во DDWRT кој е Linux ќе си останат непроменети единсствено само што ќе треба да направиш е LAN мрежата да ја префрлиш на друга мрежна и таму да биде со друга адреса пример : 192.168.0.10 или 192.168.2.1 или било како. На крај добиваш две мрежи една за интернет и една за LAN.