Элтекс

Здравствуйте, в "правилах сетевой защиты" ацлки прописаны на порт 80, то есть на web, но они не работают.
Раньше на старой версии работало, сейчас поставил новую 2.6.3.3-ru и перестало работать.
Вот правила
1 web INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 web-rel INPUT пусто TCP 80 Отбросить

Все началось с того, что захотел ограничить SIP 5060, разрешил UDP с нужной сети на 5060 шлюза и запретил все остальные UDP на 5060.
Вроде все должно было заработать, но нет. Тогда вернул первоначальное правило, только для фильтрации по web, которая работала на старой прошивке 2.3 и оказалось что оно на новой то уже не работает.

Что это такое или что я делаю не так? Как запретить все конкретному порту, кроме нужной подсети, при этом не запрещая совсем все.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

А прописав вот так - acl перестают работать и все становится открытым:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 webrel INPUT TCP 80 Отбросить
5 siprel INPUT UDP 5060 Отбросить

Более конкретной фильтрации по Отбросить сделать не получается, если расписывать порты по которым дропать.

Здравствуйте.

Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:

Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.

"Доступ из внешней сети (WAN)" размещает правило в INPUT раньше правил firewall-a, поэтому до Ваших ACL проверка не доходит.
INPUT ANY Отбросить в этом случае поможет, как Вы и отметили.

Dmitriy_eltex писал(а):Здравствуйте.

Думаю Вы получите ответ на свой вопрос, если посмотрите выгрузку команды:

Код: Выделить всё

iptables -vnL

Суть в том, что пимимо firewall существуют еще галки управления "Доступ из внешней сети (WAN)", которые привязаны к сетевому интерфейсу.
В новых версиях ПО фиксили баг, когда несмотря на разрешения доступа WAN, firewall перекрывал доступ к шлюзу и люди не могли зайти.
Данный фикс поменял немного логику, и теперь все не так, как Вы привыкли ожидать. Но возвращать старую логику уже нельзя, т.к. масса объектов потеряют доступ.

А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

Sergey Orlov писал(а):А если убрать все галки "Доступ из внешней сети (WAN)", будут применяться правила из firewall?
Или остается только вариант, разрешить что-то конкретное и закрыть все остальное как в моем правиле.

Получается фильтровать только так:
1 web1 INPUT 10.18.128.0/24 TCP 80 Пропустить
2 web2 INPUT 10.18.129.0/24 TCP 80 Пропустить
3 SIP INPUT 109.69.176.128/25 UDP 5060 Пропустить
4 siprel INPUT ANY Отбросить

Если убрать "Доступ из внешней сети (WAN)", то управления шлюзом вообще не будет из любого места (с firewall или без).
Поэтому Ваш вариант выглядит единственным.

Жесть какая то. Ладно, будем делать так тогда.
Спасибо.