Страница 1 из 1

ACL на TAU-4.IP

Добавлено: 22 янв 2020 21:06
Sergey Orlov
Здравствуйте, в "правилах сетевой защиты" ацлки прописаны на порт 80, то есть на web, но они не работают.
Раньше на старой версии работало, сейчас поставил новую 2.6.3.3-ru и перестало работать.
Вот правила
1 web INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 web-rel INPUT пусто TCP 80 Отбросить

Все началось с того, что захотел ограничить SIP 5060, разрешил UDP с нужной сети на 5060 шлюза и запретил все остальные UDP на 5060.
Вроде все должно было заработать, но нет. Тогда вернул первоначальное правило, только для фильтрации по web, которая работала на старой прошивке 2.3 и оказалось что оно на новой то уже не работает.

Что это такое или что я делаю не так? Как запретить все конкретному порту, кроме нужной подсети, при этом не запрещая совсем все.

Re: ACL на TAU-4.IP

Добавлено: 22 янв 2020 21:23
Sergey Orlov
Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

А прописав вот так - acl перестают работать и все становится открытым:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 webrel INPUT TCP 80 Отбросить
5 siprel INPUT UDP 5060 Отбросить

Более конкретной фильтрации по Отбросить сделать не получается, если расписывать порты по которым дропать.

Re: ACL на TAU-4.IP

Добавлено: 24 янв 2020 11:02
Dmitriy_eltex
Здравствуйте.

Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:

Код: Выделить всё

iptables -vnL

Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.

"Доступ из внешней сети (WAN)" размещает правило в INPUT раньше правил firewall-a, поэтому до Ваших ACL проверка не доходит.
INPUT ANY Отбросить в этом случае поможет, как Вы и отметили.

Re: ACL на TAU-4.IP

Добавлено: 24 янв 2020 13:21
Sergey Orlov
Dmitriy_eltex писал(а):Здравствуйте.

Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:

Код: Выделить всё

iptables -vnL

Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.

А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

Re: ACL на TAU-4.IP

Добавлено: 24 янв 2020 14:36
Dmitriy_eltex
Sergey Orlov писал(а):А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить


Если убрать "Доступ из внешней сети (WAN)", то управления шлюзом вообще не будет из любого места (с firewall или без).
Поэтому Ваш вариант выглядит единственным.

Re: ACL на TAU-4.IP

Добавлено: 24 янв 2020 15:12
Sergey Orlov
Жесть какая то. Ладно, будем делать так тогда.
Спасибо.