V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 4572 days ago, the information mentioned may be changed or developed.
我家里用了两台路由器,一台普通路由器A的连接宽带,ip:192.168.1.1
另一台刷了openwrt的路由器B连接A的lan口,通过bridge上网,设置了 静态IP:192.168.1.111
现在有一个android手机无线连接到 openwrt的路由器B,可以正常上网。手机的ip:192.168.1.100
现在我想block掉手机的IP,让手机上不了网(其实我想干点别的,先从最简单的开始)
我参考了这里 http://bredsaal.dk/some-small-iptables-on-openwrt-tips
iptables -A input_wan -s 192.168.1.100 --jump REJECT
iptables -A forwarding_rule -d 192.168.1.100 --jump REJECT
运行完这两命令之后手机还是照样能上网。通过iptables -L,能在list里找到上面的命令
在http://192.168.1.111/cgi-bin/luci/ 的防火墙里也能找到 相关的信息。
链表 forwarding_rule (引用: 1)
规则# 数据包 流量 对象 协议 标志 入口 出口 源地址 目的地址 选项
1 0 0.00 B REJECT all -- * * 0.0.0.0/0 192.168.1.100 reject-with icmp-port-unreachable
2 0 0.00 B DROP all -- * * 0.0.0.0/0 192.168.1.100 -
链表 input_wan (引用: 1)
规则# 数据包 流量 对象 协议 标志 入口 出口 源地址 目的地址 选项
1 0 0.00 B REJECT all -- * * 192.168.1.100 0.0.0.0/0 reject-with icmp-port-unreachable
2 0 0.00 B DROP all -- * * 192.168.1.100 0.0.0.0/0 -
我又尝试了别的chain(INPUT,OUTPUT,FORWARD。。。)。REJECT换成DROP也不行
手机始终能上网。到底要怎样才能让手机上不了网呢,或者问题出在哪里
iptables的命令应该是没有问题的。能控制openwrt的lan端口转发。
各位大大能不能给点建议。谢谢^_^
另一台刷了openwrt的路由器B连接A的lan口,通过bridge上网,设置了 静态IP:192.168.1.111
现在有一个android手机无线连接到 openwrt的路由器B,可以正常上网。手机的ip:192.168.1.100
现在我想block掉手机的IP,让手机上不了网(其实我想干点别的,先从最简单的开始)
我参考了这里 http://bredsaal.dk/some-small-iptables-on-openwrt-tips
iptables -A input_wan -s 192.168.1.100 --jump REJECT
iptables -A forwarding_rule -d 192.168.1.100 --jump REJECT
运行完这两命令之后手机还是照样能上网。通过iptables -L,能在list里找到上面的命令
在http://192.168.1.111/cgi-bin/luci/ 的防火墙里也能找到 相关的信息。
链表 forwarding_rule (引用: 1)
规则# 数据包 流量 对象 协议 标志 入口 出口 源地址 目的地址 选项
1 0 0.00 B REJECT all -- * * 0.0.0.0/0 192.168.1.100 reject-with icmp-port-unreachable
2 0 0.00 B DROP all -- * * 0.0.0.0/0 192.168.1.100 -
链表 input_wan (引用: 1)
规则# 数据包 流量 对象 协议 标志 入口 出口 源地址 目的地址 选项
1 0 0.00 B REJECT all -- * * 192.168.1.100 0.0.0.0/0 reject-with icmp-port-unreachable
2 0 0.00 B DROP all -- * * 192.168.1.100 0.0.0.0/0 -
我又尝试了别的chain(INPUT,OUTPUT,FORWARD。。。)。REJECT换成DROP也不行
手机始终能上网。到底要怎样才能让手机上不了网呢,或者问题出在哪里
iptables的命令应该是没有问题的。能控制openwrt的lan端口转发。
各位大大能不能给点建议。谢谢^_^
Supplement 1 Oct 29, 2013
我把自带的防火墙卸载了 opkg remove firewall
还是不能用iptables 控制 wan
我使用 iptables -I OUTPUT -o br-lan -j DROP 之后
不能 ssh 到路由器了。http://192.168.1.111/cgi-bin/luci/ 也无法打开。
说明iptables是没有问题的。但是此时手机连接路由器的wifi仍然可以上网。
总之就是wifi不受iptables的控制
还是不能用iptables 控制 wan
我使用 iptables -I OUTPUT -o br-lan -j DROP 之后
不能 ssh 到路由器了。http://192.168.1.111/cgi-bin/luci/ 也无法打开。
说明iptables是没有问题的。但是此时手机连接路由器的wifi仍然可以上网。
总之就是wifi不受iptables的控制
Supplement 2 Nov 26, 2013
多谢大侠shell909090的在博客中的回复
http://shell909090.com/blog/2011/09/%E5%90%88%E7%94%A8%E4%B8%A4%E4%B8%AA%E8%B7%AF%E7%94%B1%E5%99%A8%E7%9A%84%E5%87%A0%E7%A7%8D%E6%96%B9%E6%A1%88/
我这个路由器内核不支持bridg-nf,在支持bridge-nf之前,网桥的包都是二层的,不过iptables。
我现在不使用bridge模式连网了,直接拨号连接,iptables生效了
http://shell909090.com/blog/2011/09/%E5%90%88%E7%94%A8%E4%B8%A4%E4%B8%AA%E8%B7%AF%E7%94%B1%E5%99%A8%E7%9A%84%E5%87%A0%E7%A7%8D%E6%96%B9%E6%A1%88/
我这个路由器内核不支持bridg-nf,在支持bridge-nf之前,网桥的包都是二层的,不过iptables。
我现在不使用bridge模式连网了,直接拨号连接,iptables生效了
 | 1 lenzhang Oct 27, 2013  1 楼主把openwrt自带的防火墙包卸载掉就好了 |
 | 2 LazyZhu Oct 27, 2013 好乱啊,openwrt的路由器B设置为 192.168.2.x 不行吗? |
 | 4 tywtyw2002 Oct 29, 2013 1 -A是在最后面 直接把防火墙block掉就好了 或者自己在FORWARD表的最前面。。。。。。。 我记得转发的数据包不走INPUT。 如果DST_IP 不是路由器ip那么该包直走 forward http://www.opsers.org/wp-content/uploads/2010/03/123_thumb.png |
 | 5 scola OP @lenzhang @tywtyw2002 我把自带的防火墙卸载了 opkg remove firewall 还是不能用iptables 控制 wan 我使用 iptables -I OUTPUT -o br-lan -j DROP 之后 不能 ssh 到路由器了。http://192.168.1.111/cgi-bin/luci/ 也无法打开。 说明iptables是没有问题的。但是此时手机连接路由器的wifi仍然可以上网。 总之就是wifi不受iptables的控制 |
| 6 tywtyw2002 Oct 29, 2013 via iPhone 在forward 表里面加。。 用I 别用A -s 原地址 -j drop |
| 7 scola OP |
 | 8 zjgsamuel Nov 26, 2013 当你试的一点办法都没有的时候 可以试一下 DDWRT 说不定有惊喜 我上次试一个无线桥接 openwrt死活不行 , DDWRT 一试就可以.. |
 | 9 xseven007 Nov 26, 2013 via Android 你用dhcp client模式不行么 |
Select Language