创维电视盒子导致网络瘫痪诡异事件处理方法(openwrt端口隔离)

最新推荐文章于 2024-08-07 14:59:07 发布
最新推荐文章于 2024-08-07 14:59:07 发布
阅读量3.1k 收藏 7
点赞数 15
分类专栏: OpenWRT 文章标签: openwrt ssh 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyc1425/article/details/120114910
版权

背景

家里有一个17年购买的创维电视盒子i71s二代处于半闲置状态。家里的电视是LG(webOSTV系统),好处是没有开机广告,坏处是没有app,投屏功能都不全(安卓可以投屏,苹果不行)。因此,投屏基本上靠创维电视盒子i71s。另外,家里有一个R8000作为主路由器,刷了openwrt系统。路由器上USB连接一个硬盘盒子,方便路由器上挂种子。因此,观看做种视频则主要是通过创维电视盒子上安装的KODI,samba协议访问硬盘盒子,播放视频。

问题

最近发现电视盒子非常卡,KODI每次点击下一级目录都卡半天,播放视频也经常缓冲很久。同时,电视盒子开启后,家里所有网络设备都处于断网状态(wifi在连接,但是打不开任何页面,偶尔网页能慢慢加载出来)。关闭电视盒子后网络又能恢复。

问题排查

  • 电视盒子刷回到老版本,恢复出厂设置。重新安装了KODI,电视盒子不卡顿了。但是,创维电视恶心的地方来了——会不给提示自动后台升级系统!导致其他联网设备瘫痪现象依旧!!!
  • openwrt页面查看System Log、Kernel Log,均未发现异常,没有报错提示。
  • ssh登录路由器,查看进程(top)未发现异常。
  • 返回openwrt页面,查看realtime graphs,检查connections,发现电视盒子发送了大量广播包!发送端ip 10.0.0.18,接收端10.0.0.255,以及接收端255.255.255.255。由于没有进行抓包分析,无法得知其目的,隐隐感觉不正常,不像是简单的投屏原因。大胆猜想:是不是为了通过ARP欺骗之类的手段,伪装网关,截获局域网内部其他联网设备数据包???

问题处理

既然怀疑是创维电视盒子乱发广播包,解决方法首先想到的就是进行端口隔离。
原理:VLAN能够在二层网络中隔离广播域,只需要把创维电视盒子所接入的port4(有线连接的)单独设置VLAN即可。
操作:

  1. 在openwrt管理页面,network》switch中,添加VLAN10,设置关联属性。默认只有两个VLAN,其中VLAN1将CPU与各个端口关联;VLAN2将CPU与WAN口关联。新建VLAN10后,需要将VLAN1中port4设置为off,再在VLAN10中关联CPU(tagged),不关联LAN4(untagged)其余为off。
    添加VLAN10

  2. 在openwrt管理页面,network》interface中,新建接口,绑定到VLAN10中,如图:
    添加VLAN接口

  3. 设置静态地址10.1.0.1,同时开启dhcp,保存。
    设置VLAN10
    此时,电视盒子可以正常接入,访问硬盘盒子资源,但是无法访问外网。电脑无法ping通电视盒子。

  4. 设置防火墙。在openwrt管理页面,network》firewall中,编辑LAN》WAN这一条,覆盖网络(Covered networks)中勾选VLAN10,并保存应用。
    firewall设置

现在,创维电视盒子可以正常访问外网了。其他网络设备也能同时正常使用了。一切又恢复了祥和。但是创维电视盒子的作恶还在继续!!!

openwrt修改VLAN方法参考了这篇文章,在此表示感谢!
https://blog.csdn.net/sinat_27265739/article/details/78962035

cyc1425
关注
专栏目录
交换机端口隔离及端口安全
smile7
10-31 3729
计算机网络实验报告 实验组号:         课程:                     班级:           实验名称:实验二    交换机端口隔离及端口安全   姓      名__________                         实   验  日  期:            学      号_____________
N1盒子定制超精简openwrt
04-24
N1盒子定制超精简openwrt 内含基本科学插件
openwrt系统下划分vlan来隔离端口
热门推荐
opkg list
01-03 1万+
组网环境: 预想结果: 实际配置: 用到的原理:
Openwrt】如何添加访客网络并与主网络隔离超详细教程
最新发布
博客
08-07 1327
本文教你如何一步步在原生Openwrt上实现访客网络功能
OpenWrt实现无线客户端之间的隔离
hunningtu的博客
10-08 4842
有些网络环境中可能为了安全方便考虑,不希望连上同一个无线路由器的无线客户端之间可以互相通信,需要让他们之间无法直接通信,达到互相隔离的效果,我们可以通过手动修改配置文件的方式达到这样的目的。 只要修改/etc/config/wireless配置文件,在wifi-iface配置段的适当位置添加: option isolate 1 即可实现wifi用户之间互相隔离的效果。
配置端口隔离示例
lzwq1288的博客
10-23 2281
配置端口隔离示例 PC1与 PC2之间不能互相访问, PC1与 PC3之间可以互相访问, PC2与 PC3之间可以互相访问 配置思路 采用如下的思路配置端口隔离: 使能 PC1和 PC2相连端口的端口隔离功能,使 PC1与 PC2不能互相访问。 配置端口隔离功能 配置端口隔离模式为二层隔离三层互通。 system-view [Quidway] port-isolate mode l2 配置 G...
客户端隔离策略
04stone37
02-26 594
应用场景  应用依赖了某个客户端的Jar包,其依赖1.0版本的Jar包X。按照Maven的依赖仲裁原则,如果存在更短的依赖路径或者依赖路径相同,依赖声明靠前,都会影响客户端依赖的X包的版本,需要通过某种方式能够让客户端依赖的X包不受应用的影响。 解决方案方案一:scope为provided说明:使用maven对客户端打包时,将scope改为provided,由应用提供依赖的X包。这种方案要求X包的
Openwrt 网络设置 指南
07-09
### OpenWrt网络设置指南 #### 一、网络配置文件介绍 OpenWrt中的网络配置主要通过`/etc/config/network`文件实现。该文件用于管理交换芯片VLAN、网络接口及路由配置。对于网络管理员来说,熟悉并掌握该文件的编辑...
openwrt网络设置向导,x86适用
01-03
兼容18以后的版本,推荐使用最新版,上传到tmp后使用opkg命令即可安装。如果不会安装可参见meijinmeng.cn
Wr720nOpenWrt打印服务器实现奔图打印机网络无线打印
10-01
在本文中,我们将深入探讨如何将WR720n路由器OpenWrt固件,将其转变为一个打印服务器,从而实现奔图打印机的网络无线打印功能。OpenWrt是一个高度可定制的、基于Linux的嵌入式操作系统,适用于各种路由器设备,...
极壹sopenwrt工具包.zip
07-04
极壹sopenwrt工具包.zip
R8000-Gargoyle固件
02-28
Gargoyle-1.9.0-R6-netgear-r8000-squashfs 为网件R8000的OPENWRT固件
PORT-ISOLATE 端口隔离
weixin_34097242的博客
06-14 929
参考:端口隔离+local arp proxy http://wenku.baidu.com/view/baf0fb68a45177232f60a2d8.html 优势 优势一:全端口隔离广播端口隔离功能可以使所有端口处于相同或不同的端口隔离组,同 一组内不可相互转发报文,有效的隔离了病毒,攻击以及一切在网络中的噪音流量 优势二:可信任网关 Local Arp Proxy给网络带来更安全更可靠的...
OpenWrt 学习笔记【7】配置RTC驱动及应用
Yinhaoxia的博客
09-30 1012
目的 实现RTC实时时钟 背景 硬件设计中将GPIO1,GPIO2作为I2C接口使用,挂了RTC外设,并且该GPIO口被JTAG占用。因此需要先将GPIO1,2引脚设置为GPIO口,通过i2c-gpio组件模拟I2C总线实现RTC驱动。 步骤 ...
openWrt下的vlan划分
csl_12345678的博客
02-19 5502
openWrt下的vlan划分 VLAN是虚拟局域网的缩写,它是OSI层上物理网络交换机的虚拟分区。 它是一种保持网络客户端彼此分离的方法,即使它们使用相同的共享物理网络,而不设置整个子网和路由器。 它通过在网络流量上添加一个标签(VLANID)来工作,并使用这个标签来路由流量,以将孤立的客户端保持在不同的VLAN中。 要使用VLAN,您需要至少2个支持VLAN特性的设备(因为任何路由都需要至少2个点),通常是高级路由器,任何OpenWrt设备,以及任何的PC或单板计算机(Windows、MacOS、Lin
OpenWrt】VLAN分组中端口号选择 关、不关联、关联 的意思
BoyeMaker
09-13 9340
每个端口在分组中有三个选项: 关 不关联 关联。 关:这一分组中不使用这个接口 不关联:这个接口将被直接桥接到这个分组 关联:这个接口需要通过VLAN ID来访问这一分组 查看原文:http://www.boyemaker.com/2016/09/13/%e3%80%90openwrt%e3%80%91vlan%e5%88%86%e7%bb%84%e4%b8%ad%e7%ab%af%e5%8f%a
网络安全技术之端口隔离
weixin_33966365的博客
08-19 548
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络安全性,也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,尤其对头痛的ARP病毒效果...
openwrt 端口
10-06
Openwrt可以通过端口映射将公网IP的端口映射到Openwrt路由器上,以便路由器可以接收来自公网的请求并将结果返回给公网。此外,Openwrt还可以被用作低功耗的Linux嵌入式系统,可以安装各种软件预编译包来搭建不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值