Помогите разобраться с проблемой.
Есть маршрутизатор NTP-RG-1402G-W:rev.C прошивка 3.24.3.91
Оператор Ростелеком.
Настроен проброс 80 порта на LAN ip роутера (192.168.1.1) для управления роутерои снаружи
и проброс RDP порта 3389 на сервер во внутренней сети
На firewall во вкладке
Advanced Setup / Security / IP Filtering / Incoming
Сделал несколько правил для 80 и 3389 портов чтобы был доступ только с ip-адресов обслуживающей компании
При этом для 80 порта все работает - откуда надо пускает, с других мест не пускает
А для RDP не работает - доступ есть с любого ip.
Я был очень сильно и неприятно удивлен когда обнаружил что мой сервер доступен по RDP всему интернету.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
NTP-RG-1402G-W:rev.C не работает Firewall
Re: NTP-RG-1402G-W:rev.C не работает Firewall
Добрый день.
Покажите скриншоты настройки вашего firewall.
Покажите скриншоты настройки вашего firewall.
Геннадий Диркс / Элтекс / Сервисный центр ШПД
Re: NTP-RG-1402G-W:rev.C не работает Firewall
Присоединяюсь к автору!
при пробросе порта через virtual server, не работает фильтрация по входящим адресам (incoming), в цепочках input forward - правила отражаются.
логика разработчиков ПО непонятна, в iptables политики по умолчанию Accept, а в цепочках явно указаны разрешения и запреты.(весь остальной unix мир живет по принципу: политика по умолчанию DROP, а разрешения по желанию)
резюмирую: на открытый порт, может стучатся весь интернет, что не может не огорчать.
NTU-RG-1402G-W
Software Version: 3.25.2.1560
при пробросе порта через virtual server, не работает фильтрация по входящим адресам (incoming), в цепочках input forward - правила отражаются.
логика разработчиков ПО непонятна, в iptables политики по умолчанию Accept, а в цепочках явно указаны разрешения и запреты.(весь остальной unix мир живет по принципу: политика по умолчанию DROP, а разрешения по желанию)
резюмирую: на открытый порт, может стучатся весь интернет, что не может не огорчать.
NTU-RG-1402G-W
Software Version: 3.25.2.1560
Re: NTP-RG-1402G-W:rev.C не работает Firewall
> iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 8.8.8.8 88.88.88.88 udp dpt:3389
ACCEPT tcp -- 8.8.8.8 88.88.88.88 tcp dpt:3389
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:30005
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:30005
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 flags:0x17/0x02 limit: above 1/sec burst 20 mode srcip
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 flags:0x17/0x02 #conn src/32 > 10
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 limit: above 1/sec burst 20 mode srcip
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn src/32 > 10
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:500
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT !esp -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
ACCEPT !ah -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix "Intrusion -> "
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 8.8.8.8 88.88.88.88 udp dpt:3389
ACCEPT tcp -- 8.8.8.8 88.88.88.88 tcp dpt:3389
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
ACCEPT udp -- 0.0.0.0/0 192.168.0.10 udp dpt:3389
ACCEPT tcp -- 0.0.0.0/0 192.168.0.10 tcp dpt:3389
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 !192.168.0.0/24
DROP all -- !192.168.0.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT !esp -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
ACCEPT !ah -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix "Intrusion -> "
DROP all -- 0.0.0.0/0 0.0.0.0/0
88.88.88.88 адрес терминала WAN
8.8.8.8 адрес удаленного сотрудника
192.168.0.10 адрес сервера внутри сети
1)Выделенное : зачем?
2)на 3389 попадает весь интернет, а не только 8.8.8.8
3) если я пропишу правила в iptables , как скоро оператор их обнулит по своему каналу настройки?
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 8.8.8.8 88.88.88.88 udp dpt:3389
ACCEPT tcp -- 8.8.8.8 88.88.88.88 tcp dpt:3389
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:30005
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:30005
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 flags:0x17/0x02 limit: above 1/sec burst 20 mode srcip
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 flags:0x17/0x02 #conn src/32 > 10
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 limit: above 1/sec burst 20 mode srcip
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn src/32 > 10
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:500
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT !esp -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
ACCEPT !ah -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix "Intrusion -> "
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 8.8.8.8 88.88.88.88 udp dpt:3389
ACCEPT tcp -- 8.8.8.8 88.88.88.88 tcp dpt:3389
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
ACCEPT udp -- 0.0.0.0/0 192.168.0.10 udp dpt:3389
ACCEPT tcp -- 0.0.0.0/0 192.168.0.10 tcp dpt:3389
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 !192.168.0.0/24
DROP all -- !192.168.0.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT !esp -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
ACCEPT !ah -- 0.0.0.0/0 0.0.0.0/0 mark match 0x10000000/0x10000000
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix "Intrusion -> "
DROP all -- 0.0.0.0/0 0.0.0.0/0
88.88.88.88 адрес терминала WAN
8.8.8.8 адрес удаленного сотрудника
192.168.0.10 адрес сервера внутри сети
1)Выделенное : зачем?
2)на 3389 попадает весь интернет, а не только 8.8.8.8
3) если я пропишу правила в iptables , как скоро оператор их обнулит по своему каналу настройки?
Вернуться в «Оборудование PON»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 27 гостей