Filtrowanie ruchu przychodzącego


(KOCHAN) #1

Cześć, siedzę właśnie i próbuje na nieszczęsnym routerze od orange skonfigurować filtry. Co chciałbym uzyskać
Wszystkie połączenia przychodzące (usuń)
Dla wybranych adresów IP zezwól
Dla wybranych adresów zezwól na połączenie jedynie po porcie

Co mam na celu 2 użytkowników ma dostęp do rdp na 3389 + otwarty port 5001
1 użytkownik ma pozwolenie na połączenie jedynie po porcie 5001
Reszta ruchu przychodzącego brak możliwości, odrzuć


Chciałbym aby ten ostatni user miał dostęp po porcie 5001 niestety nie ma, pozostałe adresy mają dostęp do otwartych portów.
Wszystko działa oprócz dostępu dla tego 1 ip tylko po porcie 5001 - chciałbym aby ten 1 user przy skanowaniu portów widział tylko i wyłącznie otwarty dla jego IP


(roobal) #2

Nie działa, ponieważ nie zachowujesz kolejności reguł.

Podejrzewam, że soft wykorzystuje jądro linuksa i jego filtr pakietów. Większość firewalli sprawdza reguły po kolei i ich dopasowanie do pakietu.

Przychodzi pakiet do routera. Firewall sprawdza pierwszą regułę czy jest dopasowanie. Jeśli nie ma, sprawdza kolejną regułę. Jesli nie ma dopasowania, kolejną aż trafia na regułę usuń i odrzuca pakiet, jeśli nie ma dopasowania wyżej.

Teraz masz taką sytuację. Przychodzi pakiet z adresem źródłowym 46.171.166.45 na port docelowy 5001. Firewall sprawdza regułę 1, nie ma dopasowania, 2 nie ma dopasowania, 3, 4, 5, 6, 7 też nie ma dopasowania. Firewall sprawdza 8 regułę, jest dopasowanie, pakiet zostaje odrzucony.

Ostatnia reguła musi być przed regułą usuń. Reguła usuń powinna być zawsze na samym dole.


(roobal) #3

Kolejny błąd, to ustawiłeś port 5001 jako źródłowy, a powinien być docelowy. Port źródłowy będzie losowy, więc go nie znasz.

Zmień port źródłowy na docelowy, jesli ma się łączyć na ten port.

Wygląda na to, że nie za bardzo rozumiesz działania zapór sieciowych, dlatego powinieneś uzupełnić wiedzę. Poczytaj sobie jak działa iptables, to będzie Ci to latwiej zrozumieć.


(KOCHAN) #4

Robal uwierz mi że kolejność zachowuje właściwą na screenie tylko na szybko dorzuciłem regułę. Regułą usuń ruch przychodzący jest zawsze na końcu.
Druga sprawa to już sprawdzałem również i opcję którą Ty tu wymieniasz czyli ustawienie ip i portu docelowego nadal to samo. Zrobiłem tak aby każdy miał dostęp do 5001 i niestety odrzuca połączenie. Zdejmę ostatnią regułę i port mam otwarty


(roobal) #5

Kolejna sprawa. Na pewno wskazujesz właściwy interfejs?

Nie znam tego firewalla, ale jeśli jest w nim opcja przekieruj, to robisz to na właściwym interfejsie (WAN) i przekierowanie.

Pokaż jakie opcje ma ten firewall, bo tak to mozna tylko zgadywać.

Pokaż też listę interfejsów.


(KOCHAN) #6

na odpowiedni 1.1 na drugim routerze też prawidłowe przekierowanie na maszynę w sieci. Ściągnę regułę USUŃ i wszystko działa dla 3389 rdp i 5001. Wyłączę firwall na drugim ta sama sytuacja więc problem leży gdzieś w regułach na tym routerze. Może jednak nie obsługuje portów?
Nie będę się gimnastykował, podmienię ten router na drayteka i na nim skonf. tego firewalla według potrzeb.
Dzięki za posty.


(roobal) #7

Nie masz włączonego SPI na tym drugim?

Oba routery kierują na tę samą maszynę w sieci?


(KOCHAN) #8

zrobiłem jeszcze inaczej. podpiąłem maszynę bezpośrednio do tego routera sytuacja bez zmian tak więc wykluczam na 100% konf. drugiego routera. Temat również można zamknąć, podmieniłem ten na drayteka 2910 i na nim skonf. firewall tak jak potrzebowałem.