---
# System prepended metadata
title: Writeup OpenWRT
---
# OpenWRT
# Định nghĩa
1.✅
- `Firmware` là phần mềm đặc biệt được nhúng trực tiếp vào phần cứng (hardware) để điều khiển và vận hành thiết bị đó. Nó nằm ở giữa phần mềm và phần cứng, đảm bảo phần cứng hoạt động đúng chức năng của nó.
Định nghĩa dễ hiểu:
- Phần mềm (software) thì có thể cài, gỡ, cập nhật thường xuyên.
- Phần cứng (hardware) thì là các linh kiện vật lý.
- Firmware là một chương trình cố định nằm trong bộ nhớ ROM/Flash của thiết bị, giúp phần mềm điều khiển phần cứng.
- Ví dụ về firmware trong đời sống:
2.✅
- `OpenWrt` là một hệ điều hành mã nguồn mở dành cho router (bộ định tuyến) và các thiết bị mạng nhúng. Thay vì sử dụng firmware mặc định của nhà sản xuất, bạn có thể cài `OpenWrt` để có quyền kiểm soát toàn bộ hệ thống – tương tự như một bản phân phối Linux tối ưu cho router.
- `OpenWrt` sử dụng firewall (tường lửa) để kiểm soát lưu lượng mạng vào/ra, ngăn chặn các truy cập trái phép, và cấu hình các quy tắc NAT/port forwarding.
3.✅
Firewall trong OpenWrt hoạt động thế nào?
Firewall của OpenWrt được xây dựng dựa trên `iptables hoặc nftables` (tuỳ phiên bản).
Bạn có thể cấu hình firewall thông qua:
- Giao diện web LuCI: Giao diện trực quan cho phép thiết lập` firewall rules`.
- CLI (command line): Cấu hình trực tiếp bằng file `/etc/config/firewall`.
Các vùng mặc định:
- LAN: Vùng tin cậy, cho phép tất cả.
- WAN: Vùng không tin cậy, bị giới hạn nghiêm ngặt (không cho truy cập vào nội bộ).
- Bạn có thể tùy chỉnh vùng, gán interface vào vùng, và thiết lập chính sách truy cập giữa các vùng.
Tóm lại:✅
OpenWrt là một hệ điều hành router mã nguồn mở mạnh mẽ.
Nó có tích hợp hệ thống firewall để bảo mật và kiểm soát mạng.
Bạn có toàn quyền tùy chỉnh firewall trên OpenWrt.
# Mô Hình Thực Nghiệm
## Kịch bản 1 : Cho phép máy nội bộ truy cập ra ngoài Internet
Máy nội bộ trong LAN không có mạng
`Cấu hình card mạng VMware cho OpenWrt`
Vào VMware → Chọn máy ảo OpenWrt → Settings:
- Adapter 1: NAT (kết nối ra Internet qua máy host) → sẽ là WAN
- Adapter 2: LAN segment / Host-only / Internal → sẽ là LAN
Mở trình duyệt vào: http://192.168.1.1
`Bước 1: Cấu hình giao diện WAN`
Vào: Network > Interfaces > WAN > Edit
- Protocol: DHCP (nếu dùng NAT của VMware)
- Device: Chọn interface tương ứng với card đầu tiên (ví dụ: eth0)
- IPv4 Assignment: Để mặc định
✅ → Bấm Save & Apply
`Bước 2: Cấu hình giao diện LAN`
Vào: Network > Interfaces > LAN > Edit
- Protocol: Static address
- IPv4 address: Ví dụ 192.168.1.1
- Netmask: 255.255.255.0
✅ → Bấm Save & Apply
`Bước 3: Cấu hình NAT và Forwarding`
1. Vào Network > Firewall
2. Trong tab Zones, kiểm tra:
Forwardings: Có dòng lan → wan
- lan=>wan → accept/accept/accept ✅ Masquerading
- wan=>REJECT -> reject/accept/reject ✅ Masquerading
`Bước 5: Kiểm tra DNS`
Vào Network > Interfaces > WAN > Edit, trong tab Advanced Settings:
- Bỏ chọn Use DNS servers advertised by peer
- Thêm DNS thủ công (nếu cần): `8.8.8.8 1.1.1.1`
`Bước 6: Kiểm tra máy nội bộ`
Trên máy client (Ubuntu, Windows):
- IP: tự động hoặc tĩnh trong 192.168.1.5
- Gateway: 192.168.10.1
- DNS: 8.8.8.8
```=
ping 192.168.1.1 # ping tới OpenWrt
ping 8.8.8.8 # test kết nối Internet
ping google.com # test DNS
```
=> Máy nội truy cập internet ra bên ngoài
`Giải thích các thông số`
- Trong tab `Firewall > Zones` của OpenWrt, các trường `Input, Output, và Forward` tương ứng với cách `LuCI cấu hình tường lửa (firewall)` của từng vùng mạng (zone).
## Kịch bản 2 : Cho phép máy bên ngoài(WAN) truy cập đến giao diện LUCI của OPenWRT
- Từ máy vật lý (Máy ngoài nội bộ) không truy cập được tới giao diện của Openwrt
### Cách 1 :
- Như đã phân tích ở `kịch bản 1` là
=> Vậy chỉ cần bật Input=accecpt ở wan zone thì từ internet truy cập vào Openwrt hay giao diện LUci của Openwrt
sau đó từ máy vật lý bên ngoài ta sẽ truy cập vào địa chỉ WAN của OpenWrt
```
http://192.168.246.134 #Dia chi wan openWRT
```
`Nhận xét : `
- Nếu sửa trực tiếp trong `Zone Settings → wan zone`:
✅ Phải chỉnh `Input: Accept` thì máy ngoài mới truy cập được LuCI.
❌ Nhưng cách bất cập , vì:
- Nó mở toàn bộ cổng đến router từ Internet (rất nguy hiểm).
- Khó kiểm soát ai truy cập vào router.
=> Nên chúng ta sẽ có cách 2
### Cách 2 :
`Bước 1 :`
Dùng `Traffic Rule` :
- Chỉ cần tạo 1 rule mới trong Firewall → Traffic Rules như đã hướng dẫn ở trên.
- ❌ Không cần thay đổi phần Zone Settings (Input/Output/Forward).
- Đây là cách an toàn hơn, linh hoạt hơn (có thể giới hạn IP, port...).
`Giải thích thông số : `
- Source Adress là ip thật của máy lý truy cập vào nội bộ -> chỉ cho phép địa chỉ này truy cập vào LUCI của openwrt thôi -> không mở địa chỉ toàn bộ -> giảm thiểu nguy hiểm , rủi ro -> Tính Bí Mật
`Bước 2 :`
Sau đó kiểm tra IP WAN như sau:
- Vào LuCI → Network → Interfaces
- Nhìn dòng WAN → địa chỉ IP (ví dụ: 192.168.246.134)
Truy cập từ máy thật bằng:
```
http://192.168.234.134
```
`Nhận xét : `
- Nếu không dùng nữa, xoá rule này đi
- Hoặc chỉ cho phép trong 1 thời gian nhất định
- Luôn đổi mật khẩu admin trong OpenWrt để tránh bị truy cập trái phép
# Lệnh
- File cấu hình ip
```
/etc/config/network
```
Chỉnh ip xong reboot
# Snort 3 OpenWRT
Chi tiết cách cài Snort trên OpenWrt với cấu hình WAN = 192.168.246.134, LAN = 192.168.1.2, để phát hiện tấn công và xem log.
1. Cài đặt Snort3
Trên OpenWrt, mở terminal (SSH vào router):
```
opkg update
opkg install snort3
```
2. Lấy Rules cho Snort3
Snort3 cần rules để phát hiện:
Tải rules cộng đồng (community rules):
Bạn có thể tải bộ rules community (miễn phí) về thư mục như /mnt/sda1/snort/ hoặc /etc/snort/rules:
```
mkdir -p /mnt/sda1/snort/rules
cd /mnt/sda1/snort/
wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
tar -xvzf snort3-community-rules.tar.gz
```
3. Cấu hình Snort3
Các file config chính:
`/etc/config/snort` — config OpenWrt daemon (chọn interface, bật/tắt, oinkcode...)
`/etc/snort/snort.lua ` — config chính Snort3
`/etc/snort/snort_defaults.lua` — config mặc định như đường dẫn rules, HOME_NET, EXTERNAL_NET
Ví dụ chỉnh sửa` /etc/config/snort`
```
config snort 'snort'
option enabled '1' # Bật (1) hoặc tắt (0) dịch vụ Snort trên OpenWrt
option manual '0' # 0 = tự động cấu hình, 1 = cấu hình thủ công (manual)
option interface 'eth0' # Giao diện mạng mà Snort sẽ giám sát (vd: eth0)
option home_net '192.168.1.0/24' # Định nghĩa mạng nội bộ cần bảo vệ (địa chỉ IP và subnet)
option oinkcode '' # Mã đăng ký Snort.org để tải rules chính thức (để trống nếu không có)
option config_dir '/etc/snort' # Thư mục chứa các file cấu hình Snort
```
Chỉnh sửa đường dẫn rules trong `/etc/snort/snort_defaults.lua`
```
RULE_PATH = '/mnt/sda1/snort/rules/'
BUILTIN_RULE_PATH = '/mnt/sda1/snort/builtin_rules'
PLUGIN_RULE_PATH = '/mnt/sda1/snort/so_rules'
```
- Chỉnh sửa /etc/snort/snort.lua để bật rules:
```
HOME_NET = [[ 192.168.1.0/24 ]]
EXTERNAL_NET = "!$HOME_NET"
ips = {
mode = "tap", -- IDS mode (chỉ giám sát)
variables = default_variables,
rules = [[
include $RULE_PATH/snort3-community.rules
]]
}
```
4. Kiểm tra cấu hình
```
snort -c /etc/snort/snort.lua --daq-dir /usr/lib/daq -T
```
Nếu báo Snort successfully validated the configuration là OK.
5. Khởi động Snort3
```
/etc/init.d/snort start
/etc/init.d/snort enable
```
6. Xem log cảnh báo
```
logread -e snort
```
7. Một số lưu ý
Snort3 chạy ở chế độ `IDS (mode = tap)` để chỉ cảnh báo, hoặc `IPS (mode = inline)` để ngăn chặn.
Rules nên lưu ở bộ nhớ ngoài (USB, SD card) nếu router bộ nhớ ít.
Khi thay đổi rules nhớ khởi động lại snort.
Có thể dùng snort-rules để tải nhanh rules.
# Snort IPS
Cấu hình OpenWrt với LAN 192.168.1.2, WAN 192.168.246.134 và cài đặt IPS Snort 3 chạy inline mode để chặn gói tin luôn nhé.
- Mình chia ra thành 3 phần: cấu hình mạng OpenWrt → cài Snort 3 → cấu hình IPS.
1. Cấu hình mạng OpenWrt
- Mặc định OpenWrt dùng 192.168.1.1 cho LAN, mình sẽ đổi thành 192.168.1.2 và đặt WAN là IP tĩnh 192.168.246.134.
- Sửa file /etc/config/network:
```
vi /etc/config/network
```
Sửa như sau :
```
config interface 'lan'
option ifname 'br-lan'
option proto 'static'
option ipaddr '192.168.1.2'
option netmask '255.255.255.0'
config interface 'wan'
option ifname 'eth0'
option proto 'static'
option ipaddr '192.168.246.134'
option netmask '255.255.255.0'
option gateway '192.168.246.2'
option dns '8.8.8.8'
```
Sau đó :
```
/etc/init.d/network restart
```
3. Cài Snort 3 trên OpenWrt
```
opkg update
opkg install snort3 luci-app-snort
```
3. Cấu hình IPS (Snort 3 inline mode)
3.1. Bật chế độ IPS
1️⃣ File /etc/snort/snort.lua mẫu :
Mở file `/etc/snort/snort.lua `và chỉnh:
```
-- Load defaults
dofile('/etc/snort/snort_defaults.lua')
-- Network settings
HOME_NET = '192.168.1.0/24'
EXTERNAL_NET = 'any'
-- Variables
variables = default_variables
-- Enable builtin rules
ips =
{
enable_builtin_rules = true,
variables = default_variables,
}
-- DAQ settings (afpacket inline)
daq =
{
module_dirs = { '/usr/lib/daq' },
modules = { { name = 'afpacket', mode = 'inline' } }
}
-- Pair interfaces for inline IPS
afpacket =
{
{
interface = 'eth1',
cluster_id = 99,
cluster_type = 'cluster_flow',
copy_mode = 'ips',
snaplen = 1518
},
{
interface = 'eth0',
cluster_id = 99,
cluster_type = 'cluster_flow',
copy_mode = 'ips',
snaplen = 1518
}
}
-- Include rule files
rule_files =
{
'/etc/snort/rules/local.rules'
}
-- Detection
detection =
{
pcre_match_limit = 3500,
pcre_match_limit_recursion = 1500,
}
-- Output
alert_fast = { file = true }
```
2️⃣ Bước chuẩn bị interface
Trước khi chạy Snort, phải bật `promiscuous mode` cho cả hai interface và đảm bảo chúng không bị bridge chung (br-lan):
```
ip link set eth0 promisc on
ip link set eth1 promisc on
```
- Nếu eth1 đang trong br-lan, cần tách nó ra trong `/etc/config/network` .
3.2. Tạo file rule mẫu để test
Tạo file `/etc/snort/rules/local.rules` ví dụ như:
```
drop tcp any any -> any 80 (msg:"BLOCK HTTP Traffic"; sid:1000001; rev:1;)
```
Snort chỉ thực sự có tác dụng chặn gói tin nếu rule được định nghĩa rõ ràng. Chế độ “inline” không tự động chặn mà cần rule drop cụ thể.
3.3 . Tích hợp với hệ thống để chặn gói tin (NFQUEUE hoặc AF_PACKET)
Có hai cách phổ biến:
Cách 1 : Dùng iptables + NFQUEUE :
Cài các gói cần:
```
opkg install iptables-mod-nfqueue libnetfilter-queue
```
(Kiểm tra tên gói cụ thể với lệnh `opkg list | grep nfqueue`).
Forward gói tin vào queue:
```
iptables -I FORWARD -j NFQUEUE --queue-num 0
```
Chạy Snort :+1:
```
snort -c /etc/snort/snort.lua --daq-dir /usr/lib/daq --daq nfq --daq-var queue=0 -l /var/log/snort
```
- Tip: Gói iptables-mod-nfqueue-1.8.10-r1.apk đã khả dụng trong kho snapshot OpenWrt
Cách 2 : sử dụng DAQ afpacket (cho cấu hình inline bridge):
Chạy Snort inline
```
snort -c /etc/snort/snort.lua --daq afpacket -i eth0:eth1 -Q
snort -c /etc/snort/snort.lua --daq-dir /usr/lib/daq -Q -i eth0:eth1
```
- Trong đó `-i eth0:eth1` dùng để giám sát và xử lý gói tin giữa` WAN (eth0) và LAN (eth1)`.
- Nếu chỉ -c mà không -Q thì nó vẫn chạy như IDS (chỉ cảnh báo, không chặn).
4. Lỗi có thể gặp trong của trình cài IPS trong OpenWRT
Lỗi như sau khi chạy Snort 3 ở chế độ IPS với DAQ afpacket:
```
afpacket DAQ configured to inline.
FATAL: see prior 1 errors (0 warnings)
Fatal Error, Quitting..
```
- Tức là Snort yêu cầu 1 cặp interface vật lý hợp lệ để thiết lập chế độ inline (ví dụ eth0:eth1). Nếu không có cặp interface đúng, Snort sẽ báo lỗi FATAL như trên.
- Nếu bạn chỉ có 1 NIC, không thể dùng afpacket inline được (Snort cần “cầu nối” giữa 2 interface)
# Cài đặt openwrt lên thiết bị totolink X5000R
https://openwrt.org/toh/totolink/x5000r
1. Tải firmware OpenWrt phù hợp
- Truy cập trang chính thức của OpenWrt để tải firmware phù hợp với Totolink X5000R:
- 🔗 OpenWrt Firmware Selector
https://firmware-selector.openwrt.org/
- Model: Nhập Totolink X5000R.
- Version: Chọn phiên bản ổn định hoặc snapshot mới nhất.
2. Cài đặt OpenWrt qua giao diện web của Totolink X5000R
- Kết nối máy tính với một cổng LAN của router Totolink X5000R.
Để kết nối máy tính với một cổng LAN của router Totolink X5000R, bạn có thể thực hiện theo các bước sau:
- Mở trình duyệt web và truy cập địa chỉ: http://192.168.0.1.
Đăng nhập với tài khoản mặc định:
- Username: admin
- Password: admin
Vào mục Tools → Firmware Upgrade.
- Tại phần Local Upgrade, chọn file firmware OpenWrt đã tải về.
- Nhấn Upgrade và chờ quá trình hoàn tất.
- Lưu ý: Quá trình này sẽ mất khoảng 1–2 phút. Sau khi hoàn tất, router sẽ tự động khởi động lại và chuyển sang giao diện LuCI của OpenWrt(ip mặc định của LuCI OpenWrt là 192.168.1.1)
3. Đăng nhập vào giao diện LuCI của OpenWrt
- Truy cập địa chỉ: http://192.168.1.1.
Đăng nhập với tài khoản:
- Username: root
- Password: Chưa có mật khẩu (để trống).
- Thiết lập mật khẩu mới cho tài khoản root để bảo mật hệ thống.
4. Lưu ý khi cài đặt
- Hỗ trợ phần cứng: Totolink X5000R sử dụng chip flash SPI-NOR ZB25VQ128ASIG, có thể không được hỗ trợ trong một số phiên bản kernel của OpenWrt. Nếu gặp phải tình trạng bootloop sau khi cài đặt, bạn có thể cần áp dụng bản vá cho kernel để hỗ trợ chip flash này.
- Cập nhật firmware: Nếu router không khởi động lại sau khi flash, bạn có thể cần sử dụng phương pháp khôi phục firmware qua TFTP hoặc sử dụng công cụ sysupgrade qua SSH
## 1. Cấu hình các vùng mạng khác nhau trên thiết bị X5000R
```
Tìm hiểu về tính chất của các vùng mạng và thực hiện cấu hình lên thiết bị totolink X5000R
LAN 1 → Mạng nội bộ (PC, Laptop, thiết bị gia đình)
LAN 2 → WiFi khách (khách dùng Internet, nhưng không truy cập LAN nội bộ)
LAN 3 → DMZ (máy test, IoT, đặt thiết bị ít tin cậy)
LAN 4 → Server nội bộ (NAS, Web server, DB server)
```
1️⃣ `Nguyên tắc trước khi cấu hình`
- OpenWrt cho phép chia các cổng LAN vật lý thành VLAN riêng.
- Mỗi VLAN sẽ được gán với Interface riêng (có IP riêng, DHCP riêng).
- Mỗi Interface lại gán vào Firewall Zone để kiểm soát truy cập.
2️⃣ `Xác định cổng vật lý trên Totolink X5000R`
Trên thiết bị, thường sẽ có:
- 1 cổng WAN (kết nối Internet từ ISP).
- 4 cổng LAN (LAN1 → LAN4).
Ta sẽ chia:
LAN1 = VLAN10 (nội bộ)
LAN2 = VLAN20 (khách)
LAN3 = VLAN30 (DMZ)
LAN4 = VLAN40 (Server)
3️⃣ `Các bước cấu hình trên LuCI (OpenWrt WebUI)`
Bước 1: Tạo VLAN trên Switch
- Vào Network → Switch.
- Tạo các VLAN ID:
```
VLAN 10 → gán cho cổng LAN1
VLAN 20 → gán cho cổng LAN2
VLAN 30 → gán cho cổng LAN3
VLAN 40 → gán cho cổng LAN4
```
- Mỗi VLAN phải có CPU port tagged (thường là eth0.10, eth0.20, ...).
Bước 2: Tạo Interface riêng
- Vào Network → Interfaces → Add new interface.
- Tạo:
```
LAN1 (nội bộ) → thiết bị eth0.10, IP 192.168.10.1/24, bật DHCP.
LAN2 (khách) → thiết bị eth0.20, IP 192.168.20.1/24, bật DHCP.
LAN3 (DMZ) → thiết bị eth0.30, IP 192.168.30.1/24, bật DHCP.
LAN4 (server) → thiết bị eth0.40, IP 192.168.40.1/24, bật DHCP.
```
Bước 3: Cấu hình Firewall Zone
- Vào Network → Firewall → Add zone, gán từng interface vào zone:
```
lan_zone (LAN nội bộ) → lan1
guest_zone (WiFi khách) → lan2, chặn forward vào lan_zone, chỉ cho forward → WAN.
dmz_zone (DMZ) → lan3, forward → WAN, chặn vào LAN.
server_zone (Server) → lan4, cho phép từ LAN vào, WAN vào tùy cấu hình (port forward).
```
📌 Thiết lập chính:
- guest_zone: reject input từ LAN, chỉ output ra WAN.
- dmz_zone: reject forward sang LAN/Server.
- server_zone: chỉ LAN1 được forward vào.
Bước 4: Áp dụng cho WiFi khách
```
Vào Network → Wireless
Thêm SSID mới, ví dụ: GuestWiFi.
(SSID = GuestWiFi, gán vào interface lan2 (guest_zone)).
Interface gán vào LAN2 (guest_zone).
Giới hạn client isolation (ngăn các client nhìn nhau).
```
4️⃣ Kết quả
```
LAN1 (192.168.10.0/24) → Mạng nội bộ, full quyền.
LAN2 (192.168.20.0/24) → WiFi khách, chỉ Internet, không vào LAN.
LAN3 (192.168.30.0/24) → DMZ, có Internet nhưng bị cách ly.
LAN4 (192.168.40.0/24) → Server nội bộ, chỉ mở cổng cần thiết (HTTP, SSH, DB).
```
👉 Như vậy X5000R đã chia thành 4 vùng mạng độc lập, quản lý dễ hơn, bảo mật tốt hơn.
Cấu hình các vùng mạng (LAN Segmentation) trên OpenWrt
Mặc định OpenWrt có:
- LAN (bridge br-lan, gồm các cổng LAN)
- WAN (ra Internet).
Bạn cần tách 4 cổng LAN thành 4 vùng mạng riêng:
Ví dụ phân chia
- LAN1 → mạng nội bộ (192.168.10.0/24)
- LAN2 → WiFi khách (192.168.20.0/24)
- LAN3 → DMZ (192.168.30.0/24)
- LAN4 → Server nội bộ (192.168.40.0/24)
Các bước thực hiện
1. Tách switch port (Network → Switch):
- Gán từng cổng LAN (1-4) vào VLAN khác nhau.
2. Tạo interface mới (Network → Interfaces → Add New):
- LAN1: br-lan1 – static IP: 192.168.10.1/24
- LAN2: br-lan2 – static IP: 192.168.20.1/24
- LAN3: br-lan3 – static IP: 192.168.30.1/24
- LAN4: br-lan4 – static IP: 192.168.40.1/24
3. DHCP cho từng mạng (Network → DHCP and DNS):
- Bật DHCP server cho từng subnet.
4. Firewall Zone (Network → Firewall):
- Tạo zone riêng cho LAN1, LAN2, LAN3, LAN4.
Quy tắc:
- LAN1 ↔ Internet: cho phép.
- LAN2 (guest) ↔ Internet: cho phép, chặn LAN2 truy cập LAN1/LAN4.
- LAN3 (DMZ) chỉ truy cập WAN.
- LAN4 (Server) có thể cho phép LAN1 truy cập.
=> Sau bước này bạn đã có 4 mạng riêng biệt theo từng cổng.
## 2. DNS SafeSearch
Khái niệm
- DNS SafeSearch: ép buộc các client dùng công cụ tìm kiếm (Google, Bing, YouTube...) ở chế độ `SafeSearch`, chặn nội dung độc hại/nhạy cảm.
- SafeSearch là một tính năng lọc kết quả tìm kiếm của các công cụ tìm kiếm (Google, Bing, YouTube...) để chặn nội dung người lớn, bạo lực hoặc không phù hợp.
- Cách hoạt động: ép DNS mapping domain của search engine về IP SafeSearch.
Nghĩa là :
Ép DNS mapping domain về IP SafeSearch nghĩa là gì?
- Bình thường, khi bạn truy cập google.com, trình duyệt sẽ hỏi DNS server để tìm ra địa chỉ IP thật của google.com.
- Với DNS SafeSearch, ta không trả về IP thật, mà ép (map) tên miền đó (google.com, bing.com, youtube.com) về một địa chỉ IP đặc biệt của Google/Bing/YouTube đã bật sẵn chế độ SafeSearch.
- Nói cách khác: Router hoặc DNS server sẽ “lừa” thiết bị trong mạng rằng google.com chỉ có IP của Google SafeSearch server → khi người dùng tìm kiếm, kết quả luôn ở chế độ lọc an toàn.
`Cấu hình trên OpenWrt`
`1. Ép SafeSearch cho toàn mạng đứng sau router`
- Vào Network → DHCP and DNS → Custom DNS.
Bước 1: Tạo DNS Mapping
Vào menu Network → DHCP and DNS → Hostnames.
- Thêm mới (Add):
```
Hostname: www.google.com
IP Address: 216.239.38.120
```
- Làm tương tự cho:
```
www.youtube.com → 216.239.38.120
www.bing.com → 204.79.197.220
```
👉 Đây là ép domain về IP SafeSearch của Google/Bing.
Bước 2: Ép thiết bị dùng DNS của router
Vào Network → Firewall → Port Forwards.
Thêm rule Redirect:
```
Name: Force_DNS
Source zone: lan
Protocol: TCP+UDP
External port: 53
Redirect to IP: IP LAN của router (ví dụ 192.168.1.1)
Redirect port: 53
```
👉 Rule này chặn người dùng đổi DNS (8.8.8.8, 1.1.1.1…) và ép về DNS của router.
`2. Ép SafeSearch cho một vùng mạng (VD: WiFi khách)`
Bước 1: Tạo VLAN / Interface riêng cho khách
- Vào Network → Interfaces → Add new interface.
- Đặt tên: guest, chọn thiết bị (ví dụ br-lan.3 nếu VLAN ID = 3).
- Thiết lập IP (VD: 192.168.3.1/24).
- Gán vào firewall zone guest.
Lưu ý :+1:
- Thiết lập IP (VD: 192.168.3.1/24)” chính là địa chỉ IP Gateway của router trong VLAN/interface mới (mạng khách).
Bước 2: DNS Mapping chỉ cho khách
Vào Network → DHCP and DNS → Hostnames.
Thêm:
```
Hostname: www.google.com
IP Address: 216.239.38.120
```
(Có thể tick chọn chỉ áp dụng cho guest, nếu bản OpenWrt hỗ trợ — còn không thì mapping này global, nhưng mình ép DNS chỉ ở zone guest nên vẫn ok).
Bước 3: Ép DNS chỉ trong zone Guest
Vào Network → Firewall → Port Forwards.
Thêm Redirect:
```
Name: Force_DNS_Guest
Source zone: guest
Protocol: TCP+UDP
External port: 53
Redirect to IP: 192.168.3.1 (IP router trong mạng guest)
Redirect port: 53
```
Lưu ý :
👉 Như vậy chỉ WiFi khách mới bị ép SafeSearch, còn LAN chính thì không ảnh hưởng.
## 3. Cấu hình chặn Internet
📌 `Chặn Internet cho thiết bị theo IP`
Bước 1: Xác định IP của thiết bị
- Ví dụ: thiết bị có IP tĩnh hoặc đã gán DHCP là 192.168.1.50.
Bước 2: Vào Firewall
```
Vào Network → Firewall.
Tab Traffic Rules.
Nhấn Add (thêm rule mới).
```
Bước 3: Tạo rule chặn
```
- Name: Block-PC1
- Source zone: LAN1
- Src IP: 192.168.10.50 (máy cần chặn)
- Destination zone: WAN
- Action: Drop/Reject
```
Bước 4: Save & Apply
:100: Thiết bị 192.168.1.50 sẽ không truy cập Internet được nữa.
📌 `Chặn Internet cho thiết bị theo MAC`
Bước 1: Lấy MAC address
- Vào Status → Overview → Active DHCP Leases (hoặc “Associated Stations” nếu là WiFi).
- Copy địa chỉ MAC của thiết bị (VD: AA:BB:CC:DD:EE:FF).
Bước 2: Vào Firewall → Traffic Rules
- Nhấn Add (thêm rule mới).
Bước 3: Tạo rule chặn theo MAC
```
Name: Block-MAC-Device
Source zone: lan
Source MAC address: AA:BB:CC:DD:EE:FF
Destination zone: wan
Action: Reject (hoặc Drop).
```
Bước 4: Save & Apply
→ Thiết bị có MAC đó sẽ bị chặn Internet.
Ưu điểm:
- Chặn theo IP: đơn giản, nhưng nếu thiết bị đổi IP (DHCP cấp mới) thì rule không còn hiệu lực.
- Chặn theo MAC: chặn theo phần cứng thiết bị, không lo đổi IP.
- MAC Address cho biết thiết bị vật lý nào.
- IP Address cho biết thiết bị đó đang sử dụng địa chỉ nào trong mạng.
## 4. Cấu hình chặn ứng dụng theo Domain/IP
`Chặn theo domain (vnexpress.net)`
Cách này bền vững hơn vì IP có thể thay đổi.
- Muốn chặn theo tên miền thì ta phải chặn qua DNS vì firewall chỉ xử lý IP.
Trên LuCI có thể làm như sau:
`Cách 1: Dùng Adblock (dễ quản lý nhiều domain)`
Vào System → Software
- Cài gói luci-app-adblock.
Sau khi cài, vào Services → Adblock.
```
Thêm vnexpress.net vào Blacklist domain.
Save & Apply.
```
👉 Kết quả: mọi request đến vnexpress.net sẽ bị chặn (DNS không resolve được).
Cách 2: Dùng DNS forwarding (nếu không muốn cài thêm)
Bước 1: Mở LuCI
```
Vào trình duyệt → nhập IP router (ví dụ 192.168.1.1).
Login
```
Bước 2: Vào phần cấu hình DNS
```
Chọn Network → DHCP and DNS.
Tab General Settings.
```
Bước 3: Thêm rule chặn domain
- Cuộn xuống mục Custom Rules (hoặc ô “Add custom configuration”).
- Thêm dòng:
```
address=/vnexpress.net/
```
(nếu muốn điều hướng domain này về 0.0.0.0 thì viết address=/vnexpress.net/0.0.0.0).
Bước 4: Save & Apply
=> :100: Kiểm tra: từ PC trong mạng thử ping vnexpress.net → sẽ không resolve được → web không mở.
`Chặn theo IP : `
- Ví dụ vnexpress.net hiện tại resolve ra IP 111.65.250.10 (có thể thay đổi theo DNS).
Dùng firewall rule:
Bước 1: Vào firewall
```
- Chọn Network → Firewall.
- Chọn tab Traffic Rules.
```
Bước 2: Tạo rule mới
- Nhấn Add (hoặc “Add custom rule”).
```
Name: Block-vnexpress-IP
Source zone: lan
Destination zone: wan
Destination address: 111.65.250.6 (IP của vnexpress)
Action: Reject (hoặc Drop).
```
- Dest IP: (tra IP của vnexpress.net, ví dụ 111.65.250.10)
3. Save & Apply.
👉 Kết quả: mọi gói tin từ LAN đi đến IP đó sẽ bị firewall chặn.
Lưu ý:
- Chặn domain thì chắc ăn hơn vì IP của website lớn (như vnexpress) có thể thay đổi hoặc có nhiều IP (CDN).
- Nếu muốn chặn cả domain + IP → kết hợp cả 2 cách.
## 5. Cấu hình thiết bị totolink X5000R thành một switch
- Một cái router (như Totolink X5000R) khi chạy bình thường thì nó làm rất nhiều việc:
```
Cấp phát IP cho các thiết bị (DHCP server).
Định tuyến/NAT: nối mạng trong nhà (LAN) ra Internet (WAN).
Tường lửa để chặn/cho phép truy cập.
Phát WiFi.
```
👉 Nhưng nếu bạn đã có một router chính rồi (ví dụ modem nhà mạng, hoặc một router cao cấp khác) thì bạn không cần X5000R phải làm router nữa, vì làm vậy sẽ bị `double NAT (2 lớp NAT)`, khó quản lý và có thể gây lỗi mạng.
Khi cấu hình X5000R thành `Switch + Access Point (AP) `thì:
- Nó không còn làm router (không NAT, không cấp phát IP, không quản lý kết nối Internet).
- Nó chỉ chia mạng: các cổng LAN hoạt động giống như một cái switch để nối thêm máy tính, camera, server…
- Nó phát WiFi: các thiết bị WiFi cũng được nối vào mạng LAN chung, lấy IP trực tiếp từ router chính.
📌 Nói ngắn gọn:
- Router chính: quản lý mạng, cấp IP, kết nối Internet.
- X5000R: chỉ phụ, biến thành switch + WiFi AP để mở rộng vùng phủ sóng và thêm cổng mạng.
- Sơ đồ mạng có cả kết nối LAN và WiFi trên X5000R
- Totolink X5000R (đang chạy OpenWRT) chỉ hoạt động như Switch + Access Point (AP).
- Cấu hình trên LuCi
Ý tưởng
- Tắt DHCP server trên X5000R (chỉ có router chính mới cấp IP).
- Đặt IP tĩnh cho X5000R cùng lớp với router chính (để bạn còn quản lý qua web).
- Bridge WAN và LAN vào cùng một mạng (để tất cả cổng hoạt động như switch).
- Cắm dây LAN–LAN (không dùng cổng WAN nữa).
`Các bước cấu hình trên LuCI`
Bước 1. Đăng nhập LuCI
```
Truy cập: http://192.168.1.1 (mặc định).
Tài khoản: root + mật khẩu (nếu đã đặt).
```
Bước 2 : Cấu hình Interface LAN
- Vào: Network → Interfaces
- Nhấn Edit ở interface LAN
```
Protocol: Static address
IPv4 address: đổi thành 1 IP cùng lớp với router chính, VD:
Router chính: 192.168.1.1
X5000R: 192.168.1.2
IPv4 netmask: 255.255.255.0
IPv4 gateway: 192.168.1.1 (IP router chính)
Use custom DNS servers: 8.8.8.8 hoặc để 192.168.1.1
```
- Save & Apply
Bước 3. Tắt DHCP Server
```
Vào: Network → Interfaces → LAN → DHCP Server
Bỏ tick Enable DHCP for this interface
Save & Apply
```
👉 Từ giờ, IP cho thiết bị sẽ do router chính cấp, không phải X5000R.
Bước 4. (Tuỳ chọn) Bridge WAN với LAN
Vào: Network → Interfaces → Devices
1. Truy cập vào phần quản lý thiết bị mạng
```
Vào menu: Network → Interfaces → Devices
Nhấn Add device configuration → Bridge device
```
2. Tạo một Bridge device gồm tất cả cổng LAN + WAN (nếu muốn dùng cả cổng WAN như cổng LAN).
- Đặt tên: ví dụ br-lan (nếu đã có thì sẽ chỉnh sửa cái có sẵn).
- Ở phần Bridge ports, tick chọn:
```
Các cổng LAN (vd: lan1, lan2, lan3, lan4)
Cổng WAN (vd: wan hoặc eth0.2) nếu bạn muốn WAN trở thành LAN.
```
👉 Sau khi chọn, tất cả cổng LAN và WAN sẽ nằm chung một bridge.
3. Gán lại interface LAN dùng bridge này
```
Vào Network → Interfaces
Chỉnh sửa interface LAN
Ở mục Device, chọn br-lan (bridge mới tạo ở trên).
```
4. Xóa hoặc vô hiệu hóa interface WAN (tùy chọn)
```
Vào Network → Interfaces → WAN
Có thể Remove hoặc Disable, vì giờ cổng WAN đã nằm chung với LAN.
```
5. Lưu và Apply
```
Nhấn Save & Apply để áp dụng cấu hình.
```
Bước 5. . Cấu hình WiFi trên OpenWRT (Totolink X5000R)
1. Vào: Network → Wireless
```
Ở đây bạn sẽ thấy các mục:
Radio0 (2.4GHz)
Radio1 (5GHz)
(Tùy model mà có 1 hoặc 2 radio).
```
2. Nhấn Edit → cấu hình:
```
SSID: tên WiFi muốn phát (ví dụ: Home_AP).
Mode: Access Point.
Encryption: WPA2-PSK (hoặc WPA3 nếu client hỗ trợ).
Password: nhập mật khẩu WiFi.
```
- (Tuỳ chọn) Nếu muốn WiFi khách → tạo thêm một interface mới Guest và cấu hình firewall riêng.
3. (Tuỳ chọn – WiFi khách)
- Nhấn Add new interface → đặt tên ví dụ guest.
- Gán guest vào một firewall zone riêng (guest), tách biệt với lan.
- Kết quả: thiết bị kết nối WiFi Guest chỉ ra Internet, không truy cập vào mạng LAN chính → tăng bảo mật.
Bước 6. Kết nối phần cứng
- Giờ đến bước cắm dây để biến Totolink X5000R thành Switch + Access Point:
1. Router chính (đang phát Internet)
- Dùng 1 dây mạng từ cổng LAN của router chính.
2. Totolink X5000R (OpenWRT)
Trường hợp A: Bạn KHÔNG bridge WAN vào LAN
→ Cắm dây từ router chính vào cổng LAN (LAN1, LAN2…) của X5000R.(Không dùng cổng WAN).
Trường hợp B: Bạn ĐÃ bridge WAN với LAN
→ Lúc này cổng WAN cũng đã trở thành LAN.
→ Bạn có thể cắm dây từ router chính vào LAN hoặc WAN đều được.
3.Kết quả sau khi cắm dây
- Tất cả các cổng (LAN + WAN nếu bridge) trên X5000R sẽ hoạt động như switch.
- WiFi SSID bạn vừa cấu hình cũng phát sóng như Access Point.
- Thiết bị kết nối (qua LAN hoặc WiFi) sẽ lấy IP trực tiếp từ router chính.
- X5000R chỉ đóng vai trò chuyển tiếp dữ liệu (bridge), không còn NAT/DHCP.
Kết quả
- Toàn bộ thiết bị kết nối qua X5000R sẽ nhận IP từ router chính.
- X5000R chỉ làm switch + WiFi AP, không còn NAT, không định tuyến.
- Vẫn truy cập quản lý qua 192.168.1.2.
# Firewall Safegate
## Vùng mạng (Firewall zone)
Firewall zone (vùng mạng) có thể gộp nhiều interface thành một vùng mạng để quản lý với mỗi vùng mạng sẽ được quản lý một cách khác nhau, ví dụ như trên router Safe Gate Office thì ta đã có các vùng mạng có sẵn sau:
- lan: Vùng này được dùng để quản lý các nhân viên nội bộ trong công ty, những thiết bị có trong vùng này có thể ra ngoài internet và có thể truy cập được vào web quản trị của router.
+ wan: Vùng này dùng để quản lý mạng vào và ra của router.
+ guest: Vùng này dùng để cho những người không phải là nhân viên của công ty, vùng mạng này sẽ chỉ cho phép các thiết bị được ra ngoài internet thôi và sẽ không thể truy cập đến bất kỳ dịch vụ hay vùng mạng nào khác qua traffic rule.
+ dmz: Vùng này không cho phép và không được phép giao tiếp với tất cả các vùng khác và không được phép ra ngoài internet, trừ một số dịch vụ nhất định sẽ được cho phép truy cập từ ngoài mạng internet tùy thuộc vào cách cầu hình của người cấu hình qua luật Port Forward.
+ LocalServer:Vùng này thường sẽ là nơi để các máy chủ lưu trữ dữ liệu hoặc các dịch vụ nội bộ của công ty. Vùng này không cho phép và không được phép giao tiếp với tất cả các vùng khác và không được phép ra ngoài internet. các
## Cấu hình Traffic rules (luật mạng)
Bước 1.
- Truy cập Firewall -> Traffic Rules, ta có thể thấy danh sách các luật đã được tạo trước đó.
Bước 2.
- Bấm Thêm để bắt đầu thêm mới 1 traffic rule, sau đó điền các thông tin sau trong tab Cài đặt chung:
- Ví dụ, luật chặn Internet áp dụng cho mọi thiết kết nối tới router như sau:
## Cấu hình Port Forward
Bước 1 :
Để tạo 1 cấu hình nat port forward mới cần truy cập Firewall -> Port Forwards
Bước 2:
Chọn nút Thêm để thêm mới 1 cấu hình nat port forward, sau đó điền các thông tin cấu hình sau:
- Ví dụ, cấu hình luật cho phép các máy từ mạng wan có thể vào được dịch vụ web đang chạy trên cổng 8443 đang được dựng trong vùng DMZ firewall zone:
Bước 3.
Sau khi đã điền đầy đủ thông tin của luật, chọn Lưu -> Lưu và áp dụng để lưu và áp dụng luật đó.
## Chặn , chuyển hướng 1 domain sang 1 IP cụ thể.
Bước 1: Thêm mới 1 luật port forward để chuyển hướng tất cả các request cổng 53 từ vùng mạng lan đến cổng 53 của vùng mạng wan về IP của interface wan rồi lưu và áp dụng cấu hình đó.
Bước 2: Di chuyển đến mục DHCP và DNS -> Hostnames chọn thêm mới để cấu hình 1 bản ghi DNS rồi lưu và áp dụng cấu hình đó.
Bước 3: Kết nối lại vào mạng rồi kiểm tra xem domain đó đã được chuyển hướng sang ip mà ta muốn chưa.
## Cấu hình NAT Rules ( luật NAT )
Bước 1.
- Truy cập Firewall ->NAT, ta có thể thấy danh sách các luật đã được tạo trước đó.
Bước 2:
- Bấm Thêm để bắt đầu thêm mới 1 traffic rule, sau đó điền các thông tin sau trong tab Cài đặt chung
Bước 3.
Sau khi đã điền đầy đủ thông tin của luật, chọn Lưu -> Lưu và áp dụng để lưu và áp dụng cấu hình đó
# SafeSearch
Safesearch : Tìm kiếm an toàn
- Tính năng Tìm kiếm an toàn được bật mặc định trên thiết bị.
- Kết nối vào mạng Lan với cấu hình mặc định trên thiết bị thì truy cập vào web browser và search các từ khóa như: xxx, phim người lớn, jav,... kết quả sẽ chỉ trả về những nội dung lành mạnh, trong sạch, …
# Chặn link độc hại, lừa đảo
- Mặc định tính năng Chặn link độc hại, lừa đảo được bật sẵn trên router.
- Tất cả các truy cập vào những link độc hại, lừa đảo,... sẽ bị tự động ngăn chặn và hiển thị cảnh báo trên Web browser. VD: hotlive.life , lazada.gg, tiki-vn.com, …
# Giám sát mạng (IDS)
- Tính năng Giám sát mạng được kích hoạt mặc định trên thiết bị để phát hiện các hành vi rà quét mạng và sinh log có thể theo dõi trên WebUI của thiết bị trong menu “Giám sát mạng”.
- Chúng ta có thể tải đầy đủ log cảnh báo về để xem chi tiết.
# Tạo luật chặn ứng dụng bất kỳ
- Ngoài việc sử dụng dữ liệu chặn được import sẵn cho các ứng dụng phổ biến trên webUI thì người dùng có thể tạo thêm các luật chặn cho các ứng dụng khác.
Bước 1 : Tạo 1 IP sets chứa tập IP của ứng dụng cần chặn
Bước 2. Tạo luật chặn ứng dụng với IP sets vừa thêm ở bước 1
Hình 66: Tạo mới luật chặn ứng dụng theo địa chỉ MAC
# Cấu hình mạng
## Tạo Interface mới
- Mặc định thì các cổng mạng 2 -> 6 tương ứng với các device từ eth2 -> eth6 đang được bridge chung 1 dải mạng mặc định 172.16.86.1. Để tạo thêm 1 dải mạng mới trên thiết bị thì cần tách riêng 2 device tương ứng với 2 cổng mạng này khỏi bridge rồi tạo ra các interface mạng tương ứng cho 2 cổng mạng này
👉 Nói nôm na: mặc định tất cả cổng LAN đang “nối chung 1 công tắc điện” → muốn chia đôi, bạn phải tháo dây ra và nối vào 2 công tắc khác nhau, mỗi cái điều khiển riêng một nhóm thiết bị.
Bước 1
Vào tab Cấu hình mạng -> Giao diện mạng -> Thiết bị và chọn nút Cấu hình tương ứng với thiết bị của br-lan.
- Loại bỏ 1 cổng mạng khỏi bridge br-lan đã tạo sẵn
Hình 25: Loại bỏ các cổng mạng khỏi bridge br-lan đã tạo sẵn
Bước 2
- Quay lại màn hình Giao diện mạng chọn nút Thêm giao diện mới. Ở đây màn hình thêm giao diện mới sẽ hiện ra và điền các thông tin sau:
```
Tên: Tên cho giao diện mạng, ví dụ lan1, lan2, wifi guest, …
Giao thức: ở đây ta sẽ chọn địa chỉ IP tĩnh.
Thiết bị: tương ứng với cổng mạng chưa sử dụng và đã được gỡ ra khỏi thiết bị br-lan ở bên trên.
```
- Sau khi đã điền các thông tin cần thiết xong thì sẽ ấn nút Tạo giao diện mạng kết nối để tiếp tục cấu hình mạng.
Bước 3
- Sau khi đã ấn tạo giao diện kết nối xong thì màn hình cấu hình giao diện mạng mới sẽ hiện ra. Các thông số cần cấu hình:
Hình 27: Giao diện mạng mới hiện ra sau khi tạo giao diện mạng kết nối
Bước 4
- Chuyển qua tab Cấu hình Firewall rồi chọn firewall zone tương ứng với chức năng của vùng mạng đang tạo, chẳng hạn là lan cho các vùng mạng nội bộ, guest cho các vùng mạng wifi khác hoặc LocalServer cho vùng mạng để đặt server nội bộ. Ngoài ra ta cũng có thể tự tao ra 1 firewall và tự cấu hình theo mong muốn của chúng ta.
Bước 5
- Di chuyển đến tab DHCP Server để cài đặt cấu hình cấp phát IP DHCP tự động cho các máy client khi truy cập vào mạng này. Ở đây ta sẽ click nút cài đặt DHCP Server.
Tiếp tục cài đặt các thông số:
- Tiếp theo ấn lưu, lưu và áp dụng để hoàn thành việc tạo ra 1 mạng mới.
Hình 31: Giao diện mạng mới được hoàn thành
## Cấu hình Vlan
- Mặc định thì các cổng mạng từ 2 -> 6 tương ứng với các device từ eth2 -> eth6 được bridge chung. Do đó nên tách các cổng mạng này khỏi bridge để tạo các Vlan trên cổng đó hoặc tạo 1 interface khác để vẫn có thể truy cập vào được webui phòng trường hợp sau khi tạo vlan xong không kết nối được vào nữa.
- Các Vlan này sau đó có thể được gán vào các interface mạng như các device thông thường.
Bước 1
- Truy cập WebUI của router và truy cập vào mục Cấu hình mạng → Giao diện mạng -> chọn Sửa interface lan.
- Ở đây ta sẽ đổi thiết bị từ br-lan thành cổng mạng eth đang không dùng xong rồi ta ấn Lưu rồi ấn Lưu và áp dụng.
Bước 2
- Truy cập vào mục Cấu hình mạng → Giao diện mạng → Thiết bị. Ở đây ta có thể thấy các thiết bị ( cổng mạng vật lý , Vlan,...), tìm thiết bị có tên là br-lan và ấn nút “Cấu hình..”.
Bước 3
- Chọn tab “Cấu hình VLANs”
Bước 4
- Nhấn Lưu , Lưu và Áp dụng để lưu và áp dụng cấu hình mới đó
Bước 5
- Kiểm tra xem các Vlan đó đã được tạo hay chưa trong danh sách thiết bị.
- Sau khi đã tạo, các Vlan này thì có thể để gán vào các interface mạng.
