Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Blokování provozu specifické IP/MAC adresy (+povolení NTP)
- - Od Milosh Dne 2015-10-09 09:39
Zdravím,
pořídil jsem si domů IP kameru, ale protože nevěřím tomu, co a kam posílá, tak bych jí rád zablokoval veškerý provoz mimo lokální síť (z venku se k ní budu připojovat přes VPN). Do konfigurace Firewallu jsem zadal:
Libovolné provoz
Z IP 192.168.10.185 v lan
Na libovolný hostitel v wan
Discard forward
a
Libovolné provoz
Z libovolný hostitel v wan
Na IP 192.168.10.185 v lan
Discard forward

Nicméně majordomo stále loguje nějaký provoz této kamery:
Cílová adresa  Port/Protokol  Počet (download)  Packet size (download)  Velikost dat (download)  Počet (upload)  Packet size (upload)  Velikost dat (upload)
104-238-195.unassigned.userdns.com  9210/UDP  66679  2.04 MB  261.09 KB  136197  8.05 MB  4.41 MB
customer.krypt.com  12008/TCP  22633  1.46 MB  607.77 KB  45703  3.09 MB  1.34 MB
246.87.128.213.in-addr.arpa  9210/UDP  18869  634.44 KB  118.49 KB  103458  6.84 MB  4.07 MB
58.59.26.36  9210/UDP  12516  429.19 KB  86.96 KB  71587  5.26 MB  3.35 MB
183.90.184.206  9210/UDP  12488  425.13 KB  83.66 KB  75527  5.45 MB  3.44 MB
113.128.192.29  80/TCP  9956  2.68 MB  2.16 MB  27837  2.11 MB  698.17 KB
119.188.172.5  9210/UDP  4133  152.52 KB  39.50 KB  36554  3.54 MB  2.56 MB
120.192.81.186  9210/UDP  3478  143.28 KB  48.18 KB  39410  3.74 MB  2.69 MB
120.25.156.63  12008/TCP  2559  187.87 KB  56.30 KB  4914  484.68 KB  232.67 KB
63.247.93.58  9210/UDP  1348  57.67 KB  20.81 KB  23775  2.89 MB  2.26 MB
119.167.225.24  9210/UDP  1163  48.69 KB  16.89 KB  21666  2.77 MB  2.19 MB
119.188.172.18  80/TCP  1116  321.47 KB  260.46 KB  2820  216.17 KB  68.50 KB
58.56.109.126  19210/UDP  937  47.58 KB  21.96 KB  9675  341.28 KB  76.73 KB
.
.
.


Rád bych věděl, jestli kecá majordomo, nebo mám blbě nastavený firewall.

A když se tohle podaří, tak bych rád navíc povolil komunikaci kamery ven na NTP server (nepřišel jsem na to, jak jí vnutit vlastní)

Díky za pomoc
Nadřazený - - Od Milosh Dne 2015-10-14 09:52
hmm, asi jsem moc náročný :-D

tak jinak, jak rozumně otestovat, že firewall opravdu blokuje naprosto veškerou komunikaci s danou IP/MAC adresou?
Nadřazený - Od Milosh Dne 2015-10-14 11:57
tak jsem na to šel jinak, mám částečný úspěch. Pro danou IP adresu jsem v souboru /etc/config/dhcp přidal řádky

config host
        option name 'ipcam'
        option mac 'xx:xx:xx:xx:xx:xx'
        option ip '192.168.10.185'
        option tag 'no_internet'

config tag 'no_internet'
        list dhcp_option '3,192.168.12.250'
        option force '1'


kde 192.168.12.250 je (zatím) neexistující IP adresa. Je to ošklivé, ale kamera se pak pokouší ven jít přes neexistující gateway.

Nicméně s tím je problém, protože OpenVPN je na jiném subnetu (svojí síť mám 192.168.10.x, VPN je na 192.168.11.x), takže se mi zatím nedaří z VPNky dostat na kameru. Ale to by mi už někdo zkušenější mohl poradit ne?
Nadřazený - - Od fojtp Dne 2015-10-14 12:45
melo by stacit:

iptables -I FORWARD -s 192.168.10.185 -j DROP

pripadne packety zda padaji do daneho pravidla lze zjistit treba pres:
iptables -vnL | grep 192.168.10.185

bohuzel neni zde vas cely vypis iptables (nekde muzete mit pravidlo, ktere ma prednost pred DROPem)
Nadřazený - - Od Milosh Dne 2015-10-14 13:16
jo, to opravdu komunikaci zabije, nicméně to zabije i komunikaci z kamery do VPNky (tj. chová se to stejně jako u hacku přes gateway).

Jen nevím, proč se to nechová stejně, když to zapnu "klikace" na stránce Firewallu.
Nadřazený - - Od fojtp Dne 2015-10-14 13:45 Hlasů 1
tak si pred to pravidlo dejte neco jako:

iptables -I FORWARD -s 192.168.10.185 -d x.x.x.x/y -j ACCEPT

kde x.x.x.x/y je sit VPN

pripadne obdobne pro povoleni NTP serveru
Nadřazený - Od Milosh Dne 2015-10-14 14:04
Děkuji mnohokrát, přidal jsem to do souboru /etc/firewall.user a vypadá to, že to konečně dělá to co má (jen je potřeba to dát v obráceném pořadí, než bych očekával - nejdřív drop a pak accept).

NTP jsem nakonec řešit nemusel, ona ta kamera zkouší NTP server IP adresu gateway, takže to je OK (mám spuštěný NTP server na turrisu)

Jen nevím, proč je tedy klikací konfigurace firewallu, když nedělá to co bych předpokládal, že bude dělat.
Nahoru Téma Majitelé routerů / Technická podpora / Blokování provozu specifické IP/MAC adresy (+povolení NTP)

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill