Здравствуйте, в "правилах сетевой защиты" ацлки прописаны на порт 80, то есть на web, но они не работают.
Раньше на старой версии работало, сейчас поставил новую 2.6.3.3-ru и перестало работать.
Вот правила
1 web INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 web-rel INPUT пусто TCP 80 Отбросить
Все началось с того, что захотел ограничить SIP 5060, разрешил UDP с нужной сети на 5060 шлюза и запретил все остальные UDP на 5060.
Вроде все должно было заработать, но нет. Тогда вернул первоначальное правило, только для фильтрации по web, которая работала на старой прошивке 2.3 и оказалось что оно на новой то уже не работает.
Что это такое или что я делаю не так? Как запретить все конкретному порту, кроме нужной подсети, при этом не запрещая совсем все.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
ACL на TAU-4.IP
-
- Сообщения: 125
- Зарегистрирован: 21 мар 2012 14:19
- Reputation: 0
ACL на TAU-4.IP
Последний раз редактировалось Sergey Orlov 23 янв 2020 13:11, всего редактировалось 4 раза.
-
- Сообщения: 125
- Зарегистрирован: 21 мар 2012 14:19
- Reputation: 0
Re: ACL на TAU-4.IP
Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить
А прописав вот так - acl перестают работать и все становится открытым:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 webrel INPUT TCP 80 Отбросить
5 siprel INPUT UDP 5060 Отбросить
Более конкретной фильтрации по Отбросить сделать не получается, если расписывать порты по которым дропать.
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить
А прописав вот так - acl перестают работать и все становится открытым:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 webrel INPUT TCP 80 Отбросить
5 siprel INPUT UDP 5060 Отбросить
Более конкретной фильтрации по Отбросить сделать не получается, если расписывать порты по которым дропать.
-
- Сообщения: 1234
- Зарегистрирован: 28 окт 2014 08:53
- Reputation: 10
Re: ACL на TAU-4.IP
Здравствуйте.
Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:
Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.
"Доступ из внешней сети (WAN)" размещает правило в INPUT раньше правил firewall-a, поэтому до Ваших ACL проверка не доходит.
INPUT ANY Отбросить в этом случае поможет, как Вы и отметили.
Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:
Код: Выделить всё
iptables -vnL
Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.
"Доступ из внешней сети (WAN)" размещает правило в INPUT раньше правил firewall-a, поэтому до Ваших ACL проверка не доходит.
INPUT ANY Отбросить в этом случае поможет, как Вы и отметили.
Дмитрий Закурдаев / Элтекс / Сервисный центр VoIP
-
- Сообщения: 125
- Зарегистрирован: 21 мар 2012 14:19
- Reputation: 0
Re: ACL на TAU-4.IP
Dmitriy_eltex писал(а):Здравствуйте.
Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:Код: Выделить всё
iptables -vnL
Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.
А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.
Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить
-
- Сообщения: 1234
- Зарегистрирован: 28 окт 2014 08:53
- Reputation: 10
Re: ACL на TAU-4.IP
Sergey Orlov писал(а):А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить
Если убрать "Доступ из внешней сети (WAN)", то управления шлюзом вообще не будет из любого места (с firewall или без).
Поэтому Ваш вариант выглядит единственным.
Дмитрий Закурдаев / Элтекс / Сервисный центр VoIP
-
- Сообщения: 125
- Зарегистрирован: 21 мар 2012 14:19
- Reputation: 0
Re: ACL на TAU-4.IP
Жесть какая то. Ладно, будем делать так тогда.
Спасибо.
Спасибо.
Вернуться в «Оборудование VoIP»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей