HARLEY`s BLOG

yet another webblog

OpenWRT Firewall

Febrero 16th, 2007 | Categoria: GNU/Linux, MontevideoLibre, Obelisco GNU/Linux, OpenWRT, WiFi

OpenWRT para aquellos que no lo conoscan es un GNU/Linux para Routers Linksys y otras marcas. En MontevideoLibre optamos por instalar Obelisco GNU/Linux que se basa en OpenWRT, él cual tiene unos scripts de configuración muy buenos y simples. Con estos scripts el router te queda andando con casi todo lo que necesitas, PERO que pasa si quieres hacer algo MÁS?

Bueno de esto se trata, de poder hacer algo más con el firewall en Obelisco ó OpenWRT. En principio OpenWRT ya trae una configuración de default en el firewall, el cual esta comandado por IPTABLES. Un pantallaso a esta configuración se puede encontrar aqui. Ahora si bien es muy buena, tambien es muy basica, que quiero decir con esto, bueno simplemente que si queres hacer cosas a tu gusto no es la indicada.

En mi caso, MontevideoLibre fijo una rango de IPs para cada nodo u/o AP. En el cual tengo que dividir en 2, una mitad para mi LAN y otra para Wifi, osea clientes de mi AP. Si bien tengo internet en mi primer mitad de IPs, no quisiera compartirla con la segunda y la configuración default que trae Obelisco no me permite esto. Por lo que tendremos que entender como funciona IPTABLES en OpenWRT y toda su configuración.

La gente de OpenWRT ya ha pensado en estos percanses y demaces, por lo que la regla ó reglas a ingresar se deberan hacer en /etc/firewall.user Para poder ingresar una regla hay que saber algo mas sobre las cadenas que define la configuración por default en OpenWRT, esas las pueden ver en el link de arriva.

Una ves que sabemos donde colocar las reglas para que queden bien. Las colocamos, en mi caso el archivo /etc/firewall.user quedo asi:

### DMZ
## -- Connections to ports not handled above will be forwarded to 10.4.0.2
# iptables -t nat -A prerouting_rule -i $WAN -j DNAT --to 10.4.0.2
# iptables -A forwarding_rule -i $WAN -d 10.4.0.2 -j ACCEPT
### Agrego regla en cadena input_rule
## Esta regla sirve para que aquellos que se pongan una ip a lo bruto en el rango
## 10.71.1.64/28 (Sub-sub-red interna o:) desde Wifi no puedan entrar. Ya que si
## entran tienen internet y eso no lo queremos.
iptables -A input_rule -i eth1 -s 10.71.1.64/28 -j REJECT

Es simplemente una parte del archivo, lo demas ya es conocido por todos. Bueno, se que capas que alguien que no sabe mucho no quedo muy claro, pero tratare de arreglarlo en un futuro no muy lejano.

Sin Comentarios, Tu puedes ser el primero!

Contestar