Edgerouterの配下にあるクライアント1台だけインターネットアクセスを遮断する。

投稿者: | 6月 20, 2024
0件のコメント

長らくやろうと思っていたんだが、忙しかった。

この「忙しい」という言い訳は、実は最悪な言葉で、忙しいのはみんな忙しい。「忙しい」という言葉に実は単位はない。以前、人を増やしてくれ、忙しいからと言われたことがあるのだが、その上のリーダーが何人増やせばいいの?その根拠はと言ってきた。まぁ、直接の担当じゃなかったんでわからなかったが、その担当によると「忙しい」の一点張り。上司と2人で具体的に「忙しさ」がわからないと1人増やせばいいのか10人増やせばいいのかわからないんだよねぇ。と。ごもっとも。

「忙しい」という人は、その「忙しい」ことが理解できていないか(自身の仕事がマネージメントできていない)、仕事放棄(忙しいと言えばやらなくていい)と思うことにしている。仕事って業務命令なので、会社としては、えいやっができてしまうのだが。

日本人がやっている会社だとまずそれはない。なので、「忙しい」という人は居なくならないどころか爆増する仕組み。過去に「忙しいということで業務命令背けちゃうんですね」といって辞めていった人もいる。俺は知っている、その人、仕事がコンコンで、一つ一つこなして忙しかったことを。まぁ、暇な人が残るはな、そういう組織は。

 

閑話休題

 

というわけで「EdgeRouterである特定のホストのインターネットアクセスを止めたい」という話。

192.168.12.54から80, 443へのインターネットアクセスを除外する。

set firewall name WAN_OUT default-action accept
set firewall name WAN_OUT description eth0/out
set firewall name WAN_OUT rule 1 action drop
set firewall name WAN_OUT rule 1 description "disable internet access 80-443"
set firewall name WAN_OUT rule 1 destination port 80,443
set firewall name WAN_OUT rule 1 log enable
set firewall name WAN_OUT rule 1 protocol tcp
set firewall name WAN_OUT rule 1 source address 192.168.12.54

192.168.12.54から全てのプロトコルでインターネットアクセスを除外する。

set firewall name WAN_OUT default-action accept
set firewall name WAN_OUT description eth0/out
set firewall name WAN_OUT rule 1 action drop
set firewall name WAN_OUT rule 1 description "disable internet access all"
set firewall name WAN_OUT rule 1 log enable
set firewall name WAN_OUT rule 1 protocol tcp
set firewall name WAN_OUT rule 1 source address 192.168.12.54

 

ルールの適用

set interfaces ethernet eth0 firewall out name WAN_OUT
commit

 

何回かやっていると効かなくなるので以下を実行する。

sudo conntrack -F

 

EdgeRouterにデフォルトで設定されていないWAN_OUTが表示されている。

 

log enableなので、こんな感じで/var/log/messagesにログが出る。

IP晒したくないのでキャプチャは省略。

 

解除は以下、アサインを先に消さないとダメみたい。Firewall config error: Cannot delete rule set “WAN_OUT” (still in use)が出てしまう。

delete interfaces ethernet eth0 firewall out name WAN_OUT
delete firewall name WAN_OUT rule 1 
delete firewall name WAN_OUT

 

ということでした。設定失敗したらどうしようかとヒヤヒヤだった。ルータが徒歩2時間、電車またはチャリ1時間、タクシーなら夜中15分のところにあるやつなので。

しかし、どういうわけかGoogleだけはアクセスができてしまう。。。IPv6が悪さしているのか?IPv6のルール(EdgeRouterのGUIでは設定できない。)を設定しようかと思ったがまた今度。どうせ、一時的な設定だけなので。

コメントを残す