LINUX.ORG.RU
ФорумAdmin

ограничить выход наружу

 , ,


0

1

Прошу прощения за не совсем точное название темы, проще описать суть задачи.

На роутере с прошивкой OpenWRT установлен клиент OpenVPN. Через WiFi подсоединяются пользователи, которые должны выходить в сеть только через туннель. Все конфиги хранятся на внешней флешке. Всё уже настроено и нормально работает.

Но данный роутер необходимо передать человеку, который мало разбирается в сетях и может много чего испортить в настройках. Если испортит - не проблема, просто зальет заново образ на флешку и ребутнет роутер. У него есть полный доступ к роутеру через веб-интерфейс (Luci), который будет использовать для подключения к WiFi точкам интернет провайдера или подключаться к провайдеру через ethernet.

Надо сделать так, чтобы при его возможной криворукости роутер ни при каких условиях не выпустил в сеть в обход туннеля. Ни перенастройке интерфейсов, точек доступа и т.п. Т.е. защита от случайных ковыряний в настройках. Что посоветуете?


Поставить два роутера: один, чтобы работал, второй — чтобы человек поигрался.

anonymous ()
Ответ на: комментарий от mky

да, в принципе, возможно подрезать функционал. Но надо оставить возможность создавать новые wi-fi соединения. А это позволит прокинуть маршрут в обход туннеля.

zempf ()
Ответ на: комментарий от zempf

Если поправить web-интерфейс, что он весегда запускает самописный скрипт, то там можно как нужно корректировать таблицу маршрутизации.

И, ЕМНИП, различные установщики соединений добаляют/удаляют только default-маршрут, а остальные маршруты не трогаю, полностью таблицу маршрутизации не очищают. Поэтому, если у вас будет два маршрута в тунель для сетей 0.0.0.0/1 и 128.0.0.0/1, то их не тронут и default-маршрут будет бесполезен.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.