Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Firewall - nastavení a logy
- - Od stemar Dne 2014-04-29 13:06
Já ten OpenWRT firewall asi nepochopím. A opravdu se snažím.
Mám, prozatím, mírně nestandardní konfiguraci sítě, kdy WAN port Turrisu (eth2) nevede rovnou k providerovi. Vede do wifi routeru Nanostation 5, protože internet ke mně vede vzduchem, strkat Turris na střechu nejde a externí 5GHz anténu pro Turrise jsem zatím nevyřešil (rada či tip vítány). Potřeboval jsem nějak FW v Turrisu vysvětlit, že NS, přestože je v zóně WAN je kamarád a může ho pustit dovnitř. NS totiž používá linuxový stroj uvnitř LAN pro logování do syslog, bere si odtud přesný čas NTP, ukládá tam data o síle signálu atd. Myslel jsem, že to vyřeší následující pravidlo v /etc/config/firewal (WAN síť Turris - NS je 192.168.2.0/27, NS samotné pak 192.168.2.2, LAN je 192.168.1.0/24):
config rule
        option enabled '1'
        option target 'ACCEPT'
        option src 'wan'
        option dest 'lan'
        option name 'NS5'
        option family 'ipv4'
        option proto 'all'
        option src_ip '192.168.2.2'

Původně bylo pravidlo komplikovanější, povoleny byly explicitně jen skutečně potřebné porty, postupně jsem ho "osekal" do téhle podoby a pořád nic. Zjevně se jedná o problém s fw protože:
- z 192.168.2.2 si úspěšně pingnu WAN rozhraní Turrise
- z 192.168.2.2 si nepingnu nic v síti 192.168.1.0
- z LAN si úspěšně pingnu na 192.168.2.2
- když pingám z 192.168.2.2 na cokoli v LAN, vidím v tcpdump WAN rozhraní Turrise jak příchozí pakety z 192.168.2.2 tak to jak je Turris zamítá ICMP "Port unreachable", na rozhraní br-lan pak tyto pakety vůbec nedorazí

Nevidíte prosím někdo co dělám špatně? Na Turrisu jsem samozřejmě po změně firewalu dělal restart jak firewall tak network, kromě toho byl od té doby nejméně jednou restartován celý Turris a pořád nic. A ještě větší záhada, přestože se NS5 prokazatelně stále marně snaží dostat na NTP server, přistupovat na web server uvnitř LAN atd. když se dívám na www.turris.cz na "Data z vašeho routeru" na graf "Zachycené firewallové pakety - cokoli", tak se tam pro jakýkoli den od 16.4. (to bude datum kdy jsem přidával to pravidlo do fw) vidím "Pro vybraný časový úsek nejsou dostupná žádná data.".
Nadřazený - Od Štěpán Henek Dne 2014-04-30 07:23
Dobrý den,

co vám říká iptables-save a route?
Nadřazený - - Od Štěpán Henek Dne 2014-04-30 07:40
Jinak mezi "Zachycené firewallové pakety" záměrně neukládáme zalogované packety s lokální adresou.
Jednak by to znamenalo větší režii a jednak ty lokální adresy pro nás nejsou až tak zajímavé.
Daleko zajímavější je pro nás informace, že se tahle čínská IP adresa za poslední půlhodinu pokusila připojit na X turisů na port 22.
Nadřazený - Od stemar Dne 2014-04-30 08:31
Výborně, děkuji, tak mám odpověď na obě otázky. Jednak už vím, proč to nevidím ve statistikách, zároveň jsem zjistil, že navzdory té přidané sekci v /etc/config/firewal, iptables-save o nějakém podobném specifickém forward pravidlu pro jednu adresu nic neví. Tak jdu pátrat proč ...
- - Od jro Dne 2014-04-30 12:24
podarilo se prosim nekomu v Turrisu nastavit iptables blokovani urcitych www na zaklade jejich domenoveho jmena (tj ne IP adres)?
Tj zakazat treba facebook.com .... neco jako

iptables -I FORWARD -m string --algo kmp --string "facebook.com" -j DROP
iptables -I OUTPUT -m string --algo kmp --string "facebook.com" -j DROP

mi nefunguje ....
Nadřazený - - Od Štěpán Henek Dne 2014-04-30 13:04
Dobrý den,

nemyslím, že by vám to takhle bude fungovat:
1) Pokud se připojíte na https://facebook.com, tak iptables facebook v packetu neuvidí
2) Pokud se kdekoliv v packetu objeví facebook.com tak to ten packet zahodí. Což je dost špatné, protože drtivá většina portálů to magické slůvko obsahuje.

Obávám se, že jinak než přes IP adresy se facebook zablokovat nedá.
Podle https://developers.facebook.com/docs/ApplicationSecurity/
se dá seznam adres vycucnout přes whois -h whois.radb.net -- '-i origin AS32934' | grep ^route
Nadřazený - - Od jro Dne 2014-04-30 13:12
dekuji, tohle myslim dost vysvetluje proc mi to nefunguje tak, jak chci ...

jeste jeden dotaz - jake je nejlepsi reseni blokovat neco jen v urcity cas (napr vsedni dny 15-18h)?
Urcite to jde mnoha zpusoby, ale nevim, jestli treba kombinace cron a prepisovani iptables je zrovna to prave nebo jestli to jde udelat chytreji.
Nadřazený - - Od Štěpán Henek Dne 2014-04-30 13:20
viz http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-3.html#ss3.19

na turrisu jsem to ovšem nezkoušel...
Nadřazený - - Od Štěpán Henek Dne 2014-04-30 13:36
hmm, ten odkaz je trochu neaktuální, lepší je zkusit přímo man iptables-extensions
Nadřazený - - Od jro Dne 2014-04-30 13:45
diky, o prodlouzenem vikendu vyzkousim !
Nadřazený - - Od HonzaC Dne 2014-05-06 19:04
Dopadlo to nějak? Taky bych potřeboval zablokovat pár stránek, nejlépe jen pro konkrétní MAC adresy připojené přes wifi (tato "ochrana" mi naprosto stačí) a v nastavování firewallu jsem naprostý nováček. Už se mi podařilo si router i kompletně zablokovat.
Díky za odpověď
Nadřazený - - Od jro Dne 2014-05-06 19:27
nedopadlo, nemuzu se k tomu dostat ... misto toho jsem doma resil praskle vodovodni potrubi ... takze se k tomu dostanu nejdrive v cervnu :(
Nadřazený - - Od HonzaC Dne 2014-05-06 19:49
Já to prozatím vyřešil druhým routrem od TP-LINKu kde se dají alespoň IP adresy naklikat bezpečně v uživatelském rozhraní a ten teď používám k šíření wifi signálu omezeného internetu. :) Je to ale zbytečně, takže kdyby někdo jiný věděl poradit, vůbec bych se nezlobil :wink:
Nadřazený - Od jro Dne 2014-05-06 20:13
tak jsem si na to par minut nasel - a pres IP adresy to (ted) nedam. Takovy facebook ma 111 IP rozsahu (ipv4 a ipv6) ... a jelikoz zadne weby nechci blokovat porad, ale jen obcas, tak s timhle poctem zaznamu nehodlam laborovat ...
Nadřazený - - Od palikv.mojeid.c (>) Dne 2014-04-30 13:55
Já to nastavil pomocí opendns, je to pro jednu síť zdarma. Jen nevím, jak to dns nastavit v turrisu. Když ho tam zadám, tak to nefunguje. Zatím jsem to zadal do pc dětí ručně. Navíc by blokoval zvolené stránky i nám, dospělým.
Nadřazený - - Od jro Dne 2014-04-30 14:02
Mi se dns k tomu nezda vhodne - neprijde mi to kompatibilni s principy DNSSEC.

iptables pravidla jde napsat jen pro urcite lokalni IP, coz spolu s rezervacemi IP staci (nicmene ja nepotrebuji neco neprustrelne blokovat - v podstate mi staci na par hodin odpo zkomplikovat pristup k facebooku, youtube apod, stejne maji vsichni nejaky internet v mobilu kdyz na to prijde ...)
Nadřazený - Od Michal Vaner (>>) Dne 2014-04-30 14:36
Dobrý den

Tak pokud k tomu přesvědčíte unbound na routeru, tak je to s DNSSEC kompatibilní ‒ prostě prohlásíte facebook.com za lokální doménu, která se neresolvuje a neověřuje, prostě se odpoví nějaká adresa natvrdo. Ale nezabrání to někomu použít jiný DNS server, než ten v turrisu a připojit se tam stejně. Nevím, jestli umím unbound nastavit tak, aby tu lokální doménu aplikoval jen pro dotazy z určité IP adresy, tedy toto „blokování“ dělal jen pro některé počítače, ale možná by to mohlo jít.
Nahoru Téma Majitelé routerů / Technická podpora / Firewall - nastavení a logy

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill