dd-wrtでOpenVPN (4)
LANセグメントの追加拡張はMR3020でやったのですんなり
https://yellow.ap.teacup.com/applet/kentaro/202102/archive?b=5
...のはずだったが上流側からのpingが通らず、半日はまる。調べていくとClient Mode / Router Modeでは(勝手に)iptablesの設定が入って、WiFiインタフェース側からの接続が禁止されている。
Chain INPUT (policy ACCEPT 417 packets, 33609 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
2 0 0 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
3 0 0 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
4 0 0 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:69
5 0 0 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
6 0 0 DROP tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
Firewallコマンドで立ち上がり時に設定変更 (一応telnetだけは禁止しておく)
iptables -F INPUT
iptables -I INPUT 1 -d 192.168.129.0/24 -i eth2 -p tcp --dport 23 -j logdrop
その他のセキュリティとしてFORWRDチェインに追加する
(つづく)