openwrt禁止设备接入

openwrt里如何禁止某一个mac访问外网？

openwrt阻止的原因：1、防火墙的原因，设备防火墙将下挂设备的数据丢弃了。导致下挂设备无法上网。2、nat没有做好，nat是做网络地址转换的，下挂设备的数据出去时需要做源地址转换。这个没有做，下挂设备的的数据是无法发出去的。

openwrt怎么防止下级路由器被访问

设置iptables，SSH登录到路由器，在终端执行：

iptables -A INPUT -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx --dport 80 -j DROP。

iptables就是你说的防火墙，你可以找一些关于iptables的东西了解下。

软路由怎么禁用陌生的无线设备？

1.条件 固定mac地址

为限制ip的访问控制 通常使用iptables 限制ip部分 ,如果设备更换ip地址,则原有的ip地址列表规则会失效。

在局域网内 使用根据设备的mac地址配置ebtables限制目标设备的访问控制.。

但是,这样也是有缺陷的,如设备每隔一段时间会使用产生新的,随机的mac地址进行连接,则ebtables的mac匹配会失效。

为了限制这种情况,可以设置允许已知的mac连接,未识别的禁止其连接.。

做到这种情况

1.1.wifi连接的可使用 允许列表中mac地址连接 如图。

在这里插入图片描述

1.2.使用 arp 静态绑定。

这样做是为了迫使 连接设备使用固定的mac 进行连接 从而能够使用ebtables 达到限制目的。

2. openwrt 安装配置ebtables。

2.1 安装

opkg install ebtables ebtables-utils kmod-ebtables-ipv4 kmod-ebtables-ipv6。

查看版本

ebtables -V

2.2 创建为启动脚本

创建文件 /etc/init.d/efw 内容如下。

#!/bin/sh /etc/rc.common。

#/etc/init.d/efw。

START=21

STOP=21

cleartables() {。

/usr/sbin/ebtables -t $1 -F。

/usr/sbin/ebtables -t $1 -X。

/usr/sbin/ebtables -t $1 -Z。

boot() {

start

start() {

ebtables -P INPUT ACCEPT。

ebtables -P FORWARD ACCEPT。

ebtables -P OUTPUT ACCEPT。

# 1.基于mac地址检查 禁止指定的mac设备访问内网 除了一些dns dhcp ntp之外,允许访问外网。

# 1. filter mac address which is disallowed to access intranet except some dns dhcp ntp , extranet is allowed。

# 2. 基于mac地址检查 禁止指定的mac设备访问外网 只能访问内网,禁止访问外网。

# 2. filter mac address which is disallowed to access extranet , intranet is allowed。

#sh files is locale in /usr/efw/* 。

#由于分为多个执行脚本 把他们放置在 /usr/efw/目录下执行 。

SHDIR=/usr/efw

for file in $(ls $SHDIR)。

do

if [ -x $SHDIR/$file ]; then。

#need arg: add。

sh $SHDIR/$file add。

fi

done

stop() {

cleartables filter。

cleartables nat。

#cleartables broute。

/usr/sbin/ebtables -P INPUT ACCEPT。

/usr/sbin/ebtables -P FORWARD ACCEPT。

/usr/sbin/ebtables -P OUTPUT ACCEPT。

restart() {

cleartables filter。

cleartables nat。

#cleartables broute。

start

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

上面的脚本会 遍历调用 /usr/efw 目录下的每个可执行文件 执行动作为 sh $SHDIR/$file add。

如果 /usr/efw 目录为空 则仅执行。

/usr/sbin/ebtables -P INPUT ACCEPT。

/usr/sbin/ebtables -P FORWARD ACCEPT。

/usr/sbin/ebtables -P OUTPUT ACCEPT。

/usr/efw 目录 每个可执行文件 可以 各自完成自己的功能 如。

disallow_extranet.sh 指定mac地址 禁止访问外网,允许访问内网。

disallow_intranet.sh 指定mac地址 禁止访问内网,允许访问外网。

2.3 /usr/efw/disallow_extranet.sh。

禁止访问外网,允许访问内网

#!/bin/sh

#set -x

#用法: 单独 调用

#添加 sh disallow-extranet.sh add ; 删除 sh disallow-extranet.sh earse。

# 这样就不必重启 efw服务。

#配合 /etc/init.d/efw 使用。

#/usr/efw/disallow_extranet.sh。

#手动开关 ENABLE=0 禁用 ; =1 启动。

ENABLE=1

[ "$ENABLE" = 1 ] || exit 1。

#基于mac地址过滤 禁止访问外网 允许访问内网。

#-----在这里添加需要限制的mac地址。

#DISALLOW_MACLIST="11:11:11:22:22:22,22:22:22:11:11:11"。

#使用文件记录禁止的mac地址 一个行 用逗号分隔。

DISALLOW_MACFILE=/usr/efw/maclist_extranet。

[ -e $DISALLOW_MACFILE ] || echo "11:22:33:44:55:66,22:22:22:33:33:33"|tee $DISALLOW_MACFILE。

#需要16进制 这样grep才能匹配。

VARMARK=0x123132。

IPV4_A="10.0.0.0/8"。

#IPV4_A_RFC6598="100.64.0.0/10"。

IPV4_B="172.16.0.0/12"。

IPV4_C="192.168.0.0/16"。

IPV4_LOCAL="169.254.0.0/16"。

IPV4_MCAST="224.0.0.0/4"。

IPV4_BCAST="255.255.255.255"。

# 会变成 fc00::/fc00:: 但效果一样。

IPV6_LOCAL="fc00::/6"。

add() {

ebtables -t nat -N NOEXTRANET_MARK。

ebtables -t nat -A PREROUTING -j NOEXTRANET_MARK。

#ebtables -t nat -A NOEXTRANET_MARK --among-src ${DISALLOW_MACLIST} -j mark --mark-set $VARMARK。

ebtables -t nat -A NOEXTRANET_MARK --among-src-file $DISALLOW_MACFILE -j mark --mark-set $VARMARK。

#INPUT

ebtables -t filter -N NOEXTRANET_IN。

ebtables -t filter -A INPUT --mark $VARMARK -j NOEXTRANET_IN。

#IPV4

ebtables -t filter -A NOEXTRANET_IN -p ipv4 --ip-dst $IPV4_A -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv4 --ip-dst $IPV4_B -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv4 --ip-dst $IPV4_C -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv4 --ip-dst $IPV4_BCAST -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv4 --ip-dst $IPV4_MCAST -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv4 --ip-dst $IPV4_LOCAL -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv4 -j DROP。

#IPV6

ebtables -t filter -A NOEXTRANET_IN -p ipv6 --ip6-dst $IPV6_LOCAL -j ACCEPT。

ebtables -t filter -A NOEXTRANET_IN -p ipv6 -j DROP。

#FORWARD

ebtables -t filter -N NOEXTRANET_FWD。

ebtables -t filter -A FORWARD --mark $VARMARK -j NOEXTRANET_FWD。

#IPV4

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 --ip-dst $IPV4_A -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 --ip-dst $IPV4_B -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 --ip-dst $IPV4_C -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 --ip-dst $IPV4_BCAST -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 --ip-dst $IPV4_MCAST -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 --ip-dst $IPV4_LOCAL -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv4 -j DROP。

#IPV6

ebtables -t filter -A NOEXTRANET_FWD -p ipv6 --ip6-dst $IPV6_LOCAL -j ACCEPT。

ebtables -t filter -A NOEXTRANET_FWD -p ipv6 -j DROP。

earse() {

ebtables -t nat -F NOEXTRANET_MARK。

ebtables -t nat -X NOEXTRANET_MARK。

ebtables -t filter -D INPUT --mark $VARMARK -j NOEXTRANET_IN。

ebtables -t filter -D FORWARD --mark $VARMARK -j NOEXTRANET_FWD。

ebtables -t filter -F NOEXTRANET_FWD。

ebtables -t filter -X NOEXTRANET_FWD。

ebtables -t filter -F NOEXTRANET_IN。

ebtables -t filter -X NOEXTRANET_IN。

#reload mac list DISALLOW_MACLIST。

#修改 DISALLOW_MACLIST 变量后 调用reload重新载入规则 而不是整个efw重载。

#sh /usr/efw/disallow_extranet.sh reload。

reload() {

if [ -n "$(ebtables -t nat -L|grep "mark-set $VARMARK")" ]; then。

ebtables -t nat -F NOEXTRANET_MARK。

ebtables -t nat -A NOEXTRANET_MARK --among-src-file $DISALLOW_MACFILE -j mark --mark-set $VARMARK。

fi

# MAIN

case "$1" in

add)

add

;;

earse)

earse

;;

reload)

reload

;;

*)

exit 1

;;

esac

exit 0

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

2.4 /usr/efw 脚本规范。

需要提供几个选项

add 添加规则

earse 删除

reload 重载mac列表

如

/etc/init.d/efw 的调用 sh $SHDIR/$file add 启动时创建规则。

或者

修改 /usr/efw/maclist_extranet 的mac文件。

只能一个行 每个mac地址用逗号分隔。

修改完成后调用

sh /usr/efw/disallow_extranet.sh reload 以重载当前的规则 而不是重启整个 /etc/init.d/efw restart。

openwrt配置错误无法连接n1

宽带很多，可是网速越来越慢，出现这种情况，很可能无线网速被盗了，网速和流量没了是小事，万一不该流出去的照片流出去了，也许又给广大网友免费发福利了。。小编收集9个方法设置路由器，专治各种蹭网，让你家的网络更安全，保证99%的黑客破解不了。剩下1%的黑客已经不能用黑客来形容了，只能叫天外来客。

招式一 设置复杂wifi密码

功效：直接增加密码破解难度

方法：进入路由器设置界面，前往“选项卡”或“安全”，选择WPA-PSK/WPA2-PSK密码。建议选择后者，因为更难破解，也更安全。密码位数至少8位，建议16位以上，应当至少 包含大写字母、小写字母、数字、特殊符号这4种 中的3种，并且最好隔一段时间换一个。

优点：简单、粗暴

缺点：面对 五花八门的破解 软件，效果有限，密码太复杂容易忘记。

招式二 修改路由器默认管理员用户名和密码。

功效：一般路由的默认管理用户名和密码是admin,修改它们可以防止蹭网利用默认用户名和密码轻易改变路由器设置。

方法：在路由器配置界面里面，在修改用户名和口令的选项里修改，并且定期更换。设置密码参考招式一。

优点：最基本和简单的举手之劳。

缺点：效果有限

招式三 修改路由器管理端口

功效：一般路由器默认管理端口为80，正常情况下，在浏览器输入IP地址即可正常登陆，如果修改管理端口为8080，登陆路由器管理界面需要在IP地址后添加端口号，如：http://192.168.1.1:8080。这样其它用户知道管理端口才能正常登陆路由器管理。

方法：无线路由器中安全设置(或系统工具)-远端 WEB管理，将WEB管理端口修改，例如改为8080，保存。

优点：简单安全。

缺点：增加自己登陆难度。也容易忘记端口，如果忘记端 口只能恢复默认出厂设置。

招式四 修改默认局域网IP为不常用网段。

功效:防止被蹭网者轻易猜到

方法：进入路由器配置界面，找到局域网(LAN)设置选项，其中“IP地址”中就是默认IP地址，一般为“192.168.1.1”，把它修改为其他数值，比如“192.168.123.45”即可。

优点：简单易行，方便网络管理

缺点：高级黑客仍有方法看到修改过的默认IP地址。

招式五 关闭SSID广播

功效：SSID就是你的无线网名称，一般和路由器品牌相关联，关闭SSID广播后，设备就无法在搜索无线网的时候搜到你。

方法：在路由器配置界面，无线基本配置中，可以看到无线路由器名称(SSID)，记清名称，然后在SSID广播中选择关闭。然后在自己电脑的无线网络 配置菜单，添加“首选网络”，并输入被隐藏的SSID名称，就可以连入网络了。

优点：一般水平的黑客根本搜不到你的网络，也不会想到破解。

缺点：自己的新设备连接网络的时候会有些麻烦。

招式六 关闭DHCP

功效：让路由器无法自动给设备分配IP。

方法：进入路由器配置界面的局域网(LAN)设置选项，选择停用DHCP服务器。

优点：让蹭网者即使能找到无线网络，也不能使用网络。

缺点：关闭DHCP后，自己的设备需要手动设置IP.。

招式七 MAC地址过滤

功效：保证只有进入“允许连接”列表的设备才能连接网络，这样即使路由器密码被破解，蹭网者依然无法连入你的无线网。

方法：登陆路由器管理界面，在设置菜单中选择“无线MAC地址过滤”选项，选择“允许列表中MAC地址访问无线网络”的过滤规则，将自己的设备放入列表中。

优点：地址过滤为路由器的标配功能，简单易设。

缺点：每台设备上网都要加入过滤列表，经常使用不同设备上网的话有些麻烦。

具体方法可参考教程： 无线路由器设置MAC地址过滤【图文教程】

招式八 AP隔离

功效：让连入网络的设备相互隔离、数据互不相通，陌生设备无法监听你的上网数据。

方法：在支持该功能的路由器配置设置中，开户AP隔离。

优点：增加你的数据和上网安全性。

缺点：导致同一无线网内的文件共享和传输基本无法使用。

招式九 降低发射频率

功效：控制无线网络覆盖范围，让领居难以搜到你的无线信号。

方法：在支持调节无线发射频率的路由器上降低发射功率。

优点：最直接彻底地阻断远距离蹭网的可能性。

缺点：不是所有的路由器都支持调节发射功率。

openwrt防火墙设置打开转发后,无法连接

1.检查有没有打开防火墙，如果没有打开防火墙，可以在命令行中输入以下命令来打开防火墙：iptables -A INPUT -j ACCEPT。

2.检查网络接口是否正常，如果开启了防火墙，可以使用以下命令查看网络接口是否正常：ifconfig。

3.检查是否已经正确配置了IP地址，可以使用以下命令查看IP地址：ip addr。

4.检查路由表是否正确，如果没有正确设置路由表，可以使用以下命。

原文地址：http://www.qianchusai.com/openwrt%E7%A6%81%E6%AD%A2%E8%AE%BE%E5%A4%87%E6%8E%A5%E5%85%A5.html