OpenWRT路由器的以太网桥二层防火墙ebtables

1、刷机,刷机时注意清空原nvram

2、opkg安装ebtables,bridge软件

3、关闭wan接口(去掉Bring up to boot)

4、设置lan接口为新ip的地址(不要用缺省的),并关闭dhcp(副作用是设置用pc的ip要配合手工设置了)

5、在lan接口的physical settings的interface中把wan口的那个以太网端口也选上去,打开STP(Spanning Tree Protocol)生成树协议

6、开始设置ebtables:

6.1、ebtables是一组网桥处理规则链。流经网桥的以太网数据在规则链中依次进行判断处理后,凡是符合链条中某一个环节规则的数据包,即被分发到该环节规则规定处理流程,后面的环节就不需要继续走下去了。ACCEPT表示接受(允许通过),DROP表示丢弃。FORWARD表示在数据网桥中运动

6.2、ebtables的命令放在startup中开机运行

6.3、把需要允许通过所有数据的源mac,设置规则 ebtables -A FORWARD -s xx:xx:xx:xx:xx:xx -j ACCEPT,还有 ebtables -A FORWARD -d xx:xx:xx:xx:xx:xx -j ACCEPT,这样的一台设备就可以全部被暴露在网桥

6.4、需要制定源mac和靶mac,设置规则 ebtalbes -A -s 11:11:11:11:11:11 -d 22:22:22:22:22:22 -j ACCEPT

6.5、需要开通的所有规则按优先级排列,全部通过性规则写完,就做统一的封印 ebtables -P FORWARD DROP,把不能放行的数据包全部DROP掉。

6.6、使用 ebtables -L 检查一下全部规则的设置

6.6、万一弄错了,使用 ebtables -F FORWARD 把规则链清空,ebtabels -P FORWARD ACCEPT 打开网桥

7、插网线,wan口上插来自外面的网线,lan口上插自己的设备。

8、ebtables可以用来干什么?一旦能控制以太网的数据包,那么就可以在ip网中为所欲为,而不会被基于ip体系的各类设备、软件发现。比如说,在一个封闭的、有统一管理的ip 网的末端放置这样一个网桥,就可以在网桥另一端延伸出一个自己的网络。在自己的网络上,既可以有合法设备,也可以有非法设备,合法设备上无需做任何手脚,可以接受管理员的一切审计手段。合法设备与非法设备能使用大网络的ip体系进行通信。网络管理员只能看见你的合法设备,非法的设备无法被管理员发现。

9、本文既说明了如何设置以太网桥的二层防火墙,而且也由于这种技术的存在,在设计绝密级的信息系统,必须不计代价在每一个终端上都必需部署二层防火墙。

你可能感兴趣的:(以太网,路由器,网络,网络通信)