iptables:如何阻止网关局域网端设备之间的UDP (使用dd固件)

Question

目标:阻止UDP通信到此网关局域网端的设备(使用dd固件)，这些设备与internet和彼此通信，以测试在每个设备上运行的特定通信应用程序。

例外情况:允许支持这些设备的基本网络操作所需的最低限度UDP继续与internet和彼此进行通信(例如:通过TCP)。

到目前为止，我尝试过的是:在这个路由器/网关上添加规则(通过SSH会话)：

iptables -I FORWARD -p udp -j DROP 
iptables -I INPUT -p udp -j DROP

观察到(工作得好的)

• 规则iptables -I FORWARD -p udp -j DROP成功地阻止局域网端的设备通过UDP与广域网端的设备进行通信，这是因为这些设备之间无法与实用程序ncat -u进行通信。

观察到(不起作用的)

• 局域网上的设备可以使用UDP：相互通信。
  • 在设备-1上(在局域网端)：ncat -lvu #在默认端口31337上使用UDP启动ncat侦听器
  • 在设备-2上(局域网端)：ncat -vu <ip-addr-device-1> #在默认端口31337上使用UDP启动ncat调用程序

期望(期望结果)

• 设备上的ncat调用方-2无法使用UDP与设备上的ncat侦听器进行通信。
• 设备上的ncat调用方-2能够使用TCP与设备1上的ncat侦听器进行通信，方法是不使用ncat param -u。

附加信息

• 使用命令iptables -I INPUT -p udp -j DROP会对其他通信产生太大影响，但无论如何，它都不能有效地防止这两个设备之间的UDP通信。
• 使用硬件: tp-link AC1750 (弓箭手C7 v5)
• 使用固件: dd-wrt，设置“操作模式=网关”
• 网关后面的设备是UWP、iOS、Android。这里给出了使用UWP (Windows 10)设备的例子。
• 我见过如何在仍然允许使用iptables的出站UDP连接的同时阻止UDP？，但在我的情况下似乎并不有效，就像尝试iptables -I INPUT -p udp -j DROP所显示的那样。

Answer 1

很可能你不能干扰局域网到局域网的通信.我所知道的所有运行DD-WRT / OpenWRT的设备都有一个集成交换机，它可以在第二层的局域网设备之间直接交换通信量。

只有需要转发的流量才被传递到系统的路由器部分(第三层)，在该部分，Netfilter可以拦截通信量。

您可以尝试使用多个以太网适配器设置Linux盒，然后将这些适配器桥接在一起。然后，您可以使用br_netfilter通过Netfilter强制L2流量，从而允许截取流量。