credit from aphirak's blog
อ้างอิงจาก Kamikaze รุ่น Snapshot
การติดตั้ง OpenWRT บนเราเตอร์ รุ่น WRT54GL หรือ Asus 500gp นั้น
หลังจากรีสตาร์ทเครื่องแล้ว จะบูตพร้อมกับการทำงานของไฟร์วอร์ล
ซึ่งโดยปกตินั้น จะไม่อนุญาตให้เครื่องจากภายนอกวงแลน ติดต่อเข้ามาที่เราเตอร์ได้
ดังนั้นถ้าต้องการให้เครื่องภายนอกติดต่อมายังไอพีของเครื่องเราเตอร์ฝั่ง wan จะต้อง
เพิ่มค่าคำสั่งดังตัวอย่างที่ 2 ในไฟล์ /etc/config/firewall ซึ่งค่าดั้งเดิมที่มีอยู่ในไฟล์
แสดงดังตัวอย่างที่ 1 หลังจากแก้ไขไฟล์เรียบร้อยแล้วให้ใช้คำสั่ง
/etc/inid.d/firewall restart เพื่อ reload configuration ให้ระบบใช้ค่าที่ตั้งไว้ใหม่
ตัวอย่าง1 ไฟล์ดั้งเดิมของ /etc/config/firewall
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward REJECT
config zone
option name lan
option input ACCEPT
option output ACCEPT
option forward REJECT
config zone
option name wan
option input REJECT
option output ACCEPT
option forward REJECT
option masq 1
config forwarding
option src lan
option dest wan
option mtu_fix 1
ตัวอย่าง2 ข้อมูลที่เพิ่มใน /etc/config/firewall เพื่อให้สามารถติดต่อเข้ามาที่ Router ที่พอร์ท 22,80, 9100 จากภายนอก (wan) ได้
config rule
option src wan
option target ACCEPT
option proto tcp
option dest_port 80
config rule
option src wan
option target ACCEPT
option proto tcp
option dest_port 22
config rule
option src wan
option target ACCEPT
option proto tcp
option dest_port 9100
ปล. ตัวอย่างเพิ่มเติมในการตั้งค่าไฟร์วอลมีดังนี้ (จากคอมเมนต์ในไฟล์ /etc/config/firewall)
- ไม่อนุญาตให้ 192.168.45.2 จาก wan ที่ใช้ tcp ออกไปยัง wan
config rule
option src lan
option src_ip 192.168.45.2
option dest wan
option proto tcp
option target REJECT
- ไม่อนุญาตให้ mac (00:11:22:33:44:66) บน wan
config rule
option dest wan
option src_mac 00:11:22:33:44:66
option target REJECT
- รีไดเรคพอร์ท 80 ที่เข้ามาใน wan ไปที่เครื่อง 192.168.16.235 พอร์ท 80 ที่อยู่บน lan
config redirect
option src wan
option src_dport 80
option dest lan
option dest_ip 192.168.16.235
option dest_port 80
option proto tcp
- ไม่อนุญาตให้เครื่องที่อยู่ในแลน โดยมีไอพี แมค และพอร์ตต้นทางตามที่กำหนด ออกไปยังเครื่อง 194.25.2.129 พอร์ท 120 ที่อยู่บน wan
config rule
option src lan
option src_ip 192.168.45.2
option src_mac 00:11:22:33:44:55
option src_port 80
option dest wan
option dest_ip 194.25.2.129
option dest_port 120
option proto tcp
option target REJECT
- รีไดเรคพอร์ทไอพี แมค และพอร์ทต้นทางตามที่กำหนดบนแลน ไปยังเครื่อง 194.25.2.129 พอร์ท 120
config redirect
option src lan
option src_ip 192.168.45.2
option src_mac 00:11:22:33:44:55
option src_port 1024
option src_dport 80
option dest_ip 194.25.2.129
option dest_port 120
option proto tcp
0 件のコメント:
コメントを投稿