Howto/Firewall

< Howto
Version vom 5. Dezember 2013, 18:33 Uhr von Spky (Diskussion | Beiträge) (Spky verschob Seite Wissen/Firewall nach Howto/Firewall)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Nach und nach sammeln sich hier ein paar hilfreiche Firewallregeln!

SSH von WAN(Heimnetz) erreichbar machen

Da OpenWRT vom Normalbetrieb als DSL-Router ausgeht sind natürlich sämtliche Zugriffe von der WAN Schnittstelle aus geblockt. In unserem Falle kann es sehr komfortabel (und vielleicht auch sicherer) sein, den Node vom heimischen Netz (was für OpenWRT ja das böse WAN ist) zu administrieren.

Hierzu fügt ihr ans Ende der Datei /etc/config/firewall folgendes ein:

config rule
        option src              wan
        option dest_port        22
        option target           ACCEPT
        option proto            tcp

optional kann man noch die Quell-MAC-Adresse und/oder Quell-IP-Adresse festlegen:

        option src_mac **gewünschte MAC-Adresse**
        option src_ip **gewünschte IP-Adresse**

Ab sofort ist SSH sowohl aus dem Freifunk Netz, als auch aus eurem "Heimnetz" erreichbar.

SSH nur vom WAN(Heimnetz) erreichbar machen

In der Datei /etc/config/dropbear fügt ihr folgendes ein:

option Interface 'wan'

Damit hört Dropbear (SSH-Daemon von OpenWRT) nur auf dem WAN-Interface

Neustart von Dropbear über folgenden Befehl: /etc/init.d/dropbear restart

Webinterface vom WAN(Heimnetz) erreichbar machen

Genau wie SSH-Zugriff ist auch ein Webinterface für manch einen aus dem "Heimnetz" interessant. Hierzu kommt folgendes in die /etc/config/firewall:

config rule
        option src              wan
        option dest_port        443
        option target           ACCEPT
        option proto            tcp

auch hier kann man wieder optional die Quell-MAC-Adresse und/oder Quell-IP-Adresse festlegen:

        option src_mac **gewünschte MAC-Adresse**
        option src_ip **gewünschte IP-Adresse**