openwrt关闭只允许内网访问

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了openwrt关闭只允许内网访问相关的知识,希望对你有一定的参考价值。

参考技术A 1. 条件 固定mac地址 为限制ip的访问控制 通常使用iptables 限制ip部分 ,如果设备更换ip地址,则原有的ip地址列表规则会失效 在局域网内 使用根据设备的2. openwrt安装配置ebtables 2.1 安装 opkginstallebtables ebtables-utils kmod-ebtables-ipv4 kmod-ebtables-ipv6 1 查看版本 ebtables -V 1 2.2 创建为启动

ASA842只允许内网主动发起访问的流量进行PAT测试

一.需求

1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址

2.外部访问内网服务器的某些指定端口(比如TCP22,23),用的目标地址为内网服务器的真实地址


二.解决方案

1.配置动态PAT,让出去的流量进行地址转换,同时配置静态PAT,让进来的流量仍然用服务器真实地址

2.或者,配置动态PAT,让出去的流量进行地址转换,同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转换后的地址为自身地址

3.通过测试,上面两种方式PAT出去的地址都可以为内网在用服务器的地址,只不过如果这样,需要增加静态PAT的配置,否则内网对应IP地址无法从外面访问,只能通过直连地址访问


二.测试拓扑

技术分享图片技术分享图片


三.基本配置:

1.Outside服务器

IP地址:202.100.1.88/24 

默认网关:202.100.1.1


2.Inside服务器

IP地址:10.68.200.88/24 

默认网关:10.68.200.1


3.ASA842

①接口配置:

interface GigabitEthernet0

 nameif inside

 security-level 100

 ip address 10.68.200.1 255.255.255.0

 no shut

!

interface GigabitEthernet1

 nameif outside

 security-level 0

 ip address 202.100.1.1 255.255.255.0

 no shut

!

②策略配置:

access-list outside extended permit ip any host 10.68.200.88

access-group outside in interface outside

 

三.NAT配置

①PAT配置:

---指定内网整个网段出去的流量进行PAT,也可以用range指定某个范围的IP

object network Inside-net

 subnet 10.68.200.0 255.255.255.0

object network Inside-net

 nat (inside,outside) dynamic interface


②静态PAT配置:

---对指定的端口进行静态PAT转换,如果同一IP有多个端口需要映射,需要配置多个不同名称的对象

object network inside_server1

 host 10.68.200.88

 nat (inside,outside) static inside_server1 service tcp 22 22

object network inside_server2

 host 10.68.200.88

 nat (inside,outside) static inside_server2 service tcp 23 23

 

或者:

②Twice NAT配置:

--指定源端口为内网指定的端口,NAT地址为自己的地址,即不做NAT处理

--如果对象中用range包含IP段,后续增加的服务器IP在IP段之内,就不用重新修改防火墙策略

object network inside_server

 host 10.68.200.88

object service SSH

 service tcp source eq ssh

object service TELNET

 service tcp source eq telnet

nat (inside,outside) source static inside_server inside_server service SSH SSH

nat (inside,outside) source static inside_server inside_server service TELNET TELNET


四.验证

①出去的流量做了PAT:

技术分享图片技术分享图片


---上面为用Inside服务器ssh ouside服务器时的截图


②进来的流量目标地址为内网真实地址:

技术分享图片技术分享图片

技术分享图片技术分享图片




以上是关于openwrt关闭只允许内网访问的主要内容,如果未能解决你的问题,请参考以下文章

无法访问校园网站 Openwrt造成的结果

openwrt内网端口转发,内部使用nginx反代,外部使用https安全访问的方案

cpolar 内网穿透Openwrt 软路由实现内网穿透

openwrt内网穿透导致缓慢

4-Openwrt ipv6之NAT6

如何利用openwrt的web配置界面来配置端口映射