Objetivo : Bloquear o tráfego UDP para dispositivos no lado da LAN deste gateway (usando firmware dd-wrt), que se comunicam com a Internet e entre si, para testar aplicativos de comunicação específicos em execução em cada dispositivo.
Exceções : permitem o UDP mínimo necessário para suportar operações básicas de rede para que esses dispositivos continuem se comunicando (por exemplo: via TCP) com a Internet e entre si.
O que eu tentei até agora : Regras adicionadas (via sessão SSH) neste roteador/gateway:
iptables -I FORWARD -p udp -j DROP
iptables -I INPUT -p udp -j DROP
Observado (o que está funcionando bem) :
- A regra
iptables -I FORWARD -p udp -j DROP
bloqueia com sucesso os dispositivos no lado da LAN de se comunicarem via UDP com dispositivos no lado da WAN, conforme verificado pela incapacidade de comunicação entre esses dispositivos com o utilitárioncat -u
.
Observado (o que não está funcionando) :
- Dispositivos no lado da LAN podem se comunicar uns com os outros, usando UDP:
- No dispositivo-1 (no lado da LAN):
ncat -lvu
# inicia o ouvinte ncat usando UDP na porta padrão 31337 - No dispositivo-2 (no lado da LAN):
ncat -vu <ip-addr-device-1>
# inicia o chamador ncat usando UDP na porta padrão 31337
- No dispositivo-1 (no lado da LAN):
Expectativa (resultado desejado) :
- chamador ncat no dispositivo-2 incapaz de se comunicar usando UDP para o ouvinte ncat no dispositivo-1.
- chamador ncat no dispositivo-2 capaz de se comunicar usando TCP para o ouvinte ncat no dispositivo-1, não usando ncat param
-u
.
Informações adicionais :
- O uso do comando
iptables -I INPUT -p udp -j DROP
afeta demais a comunicação, mas usado de qualquer maneira, para demonstrar a ineficácia dessa regra na prevenção da comunicação UDP entre esses dois dispositivos. - Usando hardware: tp-link AC1750 (Archer C7 v5)
- Usando firmware: dd-wrt, com configuração "Modo de operação = Gateway"
- Os dispositivos por trás do gateway são UWP, iOS, Android. Exemplos fornecidos aqui usando dispositivos UWP (Windows 10).
- Eu vi Como faço para bloquear o UDP enquanto ainda permito conexões UDP de saída com o iptables? , mas não parece eficaz no meu caso, conforme demonstrado ao tentar
iptables -I INPUT -p udp -j DROP
.