О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

ACL на TAU-4.IP

ECSS-10, TAU.IP, SMG, RG
Sergey Orlov
Сообщения: 125
Зарегистрирован: 21 мар 2012 14:19
Reputation: 0

ACL на TAU-4.IP

Сообщение Sergey Orlov » 22 янв 2020 21:06

Здравствуйте, в "правилах сетевой защиты" ацлки прописаны на порт 80, то есть на web, но они не работают.
Раньше на старой версии работало, сейчас поставил новую 2.6.3.3-ru и перестало работать.
Вот правила
1 web INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 web-rel INPUT пусто TCP 80 Отбросить

Все началось с того, что захотел ограничить SIP 5060, разрешил UDP с нужной сети на 5060 шлюза и запретил все остальные UDP на 5060.
Вроде все должно было заработать, но нет. Тогда вернул первоначальное правило, только для фильтрации по web, которая работала на старой прошивке 2.3 и оказалось что оно на новой то уже не работает.

Что это такое или что я делаю не так? Как запретить все конкретному порту, кроме нужной подсети, при этом не запрещая совсем все.
Последний раз редактировалось Sergey Orlov 23 янв 2020 13:11, всего редактировалось 4 раза.

Sergey Orlov
Сообщения: 125
Зарегистрирован: 21 мар 2012 14:19
Reputation: 0

Re: ACL на TAU-4.IP

Сообщение Sergey Orlov » 22 янв 2020 21:23

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

А прописав вот так - acl перестают работать и все становится открытым:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 webrel INPUT TCP 80 Отбросить
5 siprel INPUT UDP 5060 Отбросить

Более конкретной фильтрации по Отбросить сделать не получается, если расписывать порты по которым дропать.

Dmitriy_eltex
Сообщения: 1234
Зарегистрирован: 28 окт 2014 08:53
Reputation: 10

Re: ACL на TAU-4.IP

Сообщение Dmitriy_eltex » 24 янв 2020 11:02

Здравствуйте.

Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:

Код: Выделить всё

iptables -vnL

Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.

"Доступ из внешней сети (WAN)" размещает правило в INPUT раньше правил firewall-a, поэтому до Ваших ACL проверка не доходит.
INPUT ANY Отбросить в этом случае поможет, как Вы и отметили.
Дмитрий Закурдаев / Элтекс / Сервисный центр VoIP

Sergey Orlov
Сообщения: 125
Зарегистрирован: 21 мар 2012 14:19
Reputation: 0

Re: ACL на TAU-4.IP

Сообщение Sergey Orlov » 24 янв 2020 13:21

Dmitriy_eltex писал(а):Здравствуйте.

Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:

Код: Выделить всё

iptables -vnL

Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.

А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

Dmitriy_eltex
Сообщения: 1234
Зарегистрирован: 28 окт 2014 08:53
Reputation: 10

Re: ACL на TAU-4.IP

Сообщение Dmitriy_eltex » 24 янв 2020 14:36

Sergey Orlov писал(а):А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить


Если убрать "Доступ из внешней сети (WAN)", то управления шлюзом вообще не будет из любого места (с firewall или без).
Поэтому Ваш вариант выглядит единственным.
Дмитрий Закурдаев / Элтекс / Сервисный центр VoIP

Sergey Orlov
Сообщения: 125
Зарегистрирован: 21 мар 2012 14:19
Reputation: 0

Re: ACL на TAU-4.IP

Сообщение Sergey Orlov » 24 янв 2020 15:12

Жесть какая то. Ладно, будем делать так тогда.
Спасибо.


Вернуться в «Оборудование VoIP»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей