Запретить доступ к маршрутизатору с устройств LAN, кроме сервисов
У меня есть установка OpenWRT, которую я сейчас укрепляю. Я хотел бы предотвратить любой сетевой доступ с устройств LAN к маршрутизатору, кроме TCP 22, TCP 80 и TCP 443.
Я использую LuCI, и вот общие настройки:
Вот правила дорожного движения:
В настоящее время весь входящий трафик из глобальной сети отклоняется, за исключением удаленных TCP 22, TCP 80 и TCP 443. Однако может показаться, что весь трафик из локальной сети в маршрутизатор принимается.
Как я могу (безопасно) отклонить весь трафик из локальной сети в маршрутизатор, кроме TCP 22, 80 и 443?
Почему бы просто не отключить все остальные службы - если нет слушателя, нет причин блокировать порт. И если вы намерены заблокировать порты как в LAN, так и в WAN, нет никаких причин запускать демонов вообще.
Кроме того, FWIW вам не следует запускать SSH (или любой административный пользовательский интерфейс / точку доступа) на портах по умолчанию на стороне WAN, если вы не хотите постоянно получать брут-форс.