Файрволл полностью игнорируется устройством

[George An]

Дано:

• Keenetic Speedster
• консоль Xbox Series S
• Overwatch
• пустые сервера на азиатском регионе Xbox
• правила файрволла на запрет диапазона адресов Кореи (и не только)

Проблема

• консоль все равно подключается к одному из адресов в Корее и к еще другим азиатским

Что пробовал?

• перезагружал
• перевтыкал
• переписывал записи
• включал/выключал
• self-test брал

Quote

access-list _WEBADMIN_PPPoE0
    deny udp 0.0.0.0 0.0.0.0 117.52.0.0 255.255.0.0
    deny description "Asian Servers (1)"
    deny udp 0.0.0.0 0.0.0.0 121.254.0.0 255.255.0.0
    deny description "Asian Servers (2)"
    deny udp 0.0.0.0 0.0.0.0 5.42.0.0 255.255.0.0
    deny description "Asian Servers (3)"
    deny udp 0.0.0.0 0.0.0.0 34.126.0.0 255.255.0.0
    deny description "Asian Servers (4)"
    deny udp 0.0.0.0 0.0.0.0 15.185.0.0 255.255.0.0
    deny description "Asian Servers (5)"
    deny udp 0.0.0.0 0.0.0.0 151.101.0.0 255.255.0.0
    deny description "Asian Servers (6)"
    deny udp 117.52.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (1-1)"
    deny udp 121.254.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (2-2)"
    deny udp 5.42.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (3-3)"
    deny udp 34.126.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (4-4)"
    deny udp 15.185.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (5-5)"
    deny udp 151.101.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (5-5)"
! 

• бился головой об стол

Итог

• файрволл не работает, консоль всё еще заходит на пару запрещенных мной IP из диапазона адресов

Помогите

Изменено 22 декабря, 2021 пользователем George An
grammar

[Denis P]

21 минуту назад, George An сказал:

Дано:

• Keenetic Speedster
• консоль Xbox Series S
• Overwatch
• пустые сервера на азиатском регионе Xbox
• правила файрволла на запрет диапазона адресов Кореи (и не только)

Проблема

• консоль все равно подключается к одному из адресов в Корее и к еще другим азиатским

Что пробовал?

• перезагружал
• перевтыкал
• переписывал записи
• включал/выключал
• self-test брал

• бился головой об стол

Итог

• файрволл не работает, консоль всё еще заходит на пару запрещенных мной IP из диапазона адресов

Помогите

Не туда правила вешаете, нужно на домашний сегмент

[eralde]

13 минуты назад, George An сказал:

Проблема

 

• консоль все равно подключается к одному из адресов в Корее и к еще другим азиатским

 

Веб-интерфейс позволяет настроить правила только для входящего трафика.
Если все нужные правила вы уже настроили, то проще всего сменить тип ip access-group через CLI
 

interface {ИМЯ_НУЖНОГО_ИНТЕРФЕЙСА} ip access-group {ИМЯ_СПИСКА_ACL} out

(config)> interface Bridge2 ip access-group foobar in         // привязать список правил foobar к входящему трафику в Bridge2
Network::Acl: Input "foobar" access list added to "Bridge2".
(config)> interface Bridge2 ip access-group foobar out        // привязать список правил foobar к исходящему трафику в Bridge2
Network::Acl: Output "foobar" access list added to "Bridge2".
(config)>
(config)>
(config)>
(config)>
(config)>
(config)> interface Bridge2 ip no access-group foobar in     // отвязать ...
Network::Acl: "foobar" access group deleted from "Bridge2".
(config)> interface Bridge2 ip no access-group foobar out
Network::Acl: "foobar" access group deleted from "Bridge2".

Релевантная статья в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

[r13]

8 минут назад, eralde сказал:

Веб-интерфейс позволяет настроить правила только для входящего трафика.
Если все нужные правила вы уже настроили, то проще всего сменить тип ip access-group через CLI
 

interface {ИМЯ_НУЖНОГО_ИНТЕРФЕЙСА} ip access-group {ИМЯ_СПИСКА_ACL} out

(config)> interface Bridge2 ip access-group foobar in         // привязать список правил foobar к входящему трафику в Bridge2
Network::Acl: Input "foobar" access list added to "Bridge2".
(config)> interface Bridge2 ip access-group foobar out        // привязать список правил foobar к исходящему трафику в Bridge2
Network::Acl: Output "foobar" access list added to "Bridge2".
(config)>
(config)>
(config)>
(config)>
(config)>
(config)> interface Bridge2 ip no access-group foobar in     // отвязать ...
Network::Acl: "foobar" access group deleted from "Bridge2".
(config)> interface Bridge2 ip no access-group foobar out
Network::Acl: "foobar" access group deleted from "Bridge2".

Релевантная статья в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

Не, тут это не нужно,

Выше правильный совет, правила на home сегмент надо перенести. 

[keenet07]

И так и так можно. Первый способ со сменой направления полностью исходящие на эти адреса заблокирует, а второй блокирует входящие с этих адресов. Эффект почти тот же. Только первый способ блокирует сразу для всех сегментов.

Изменено 22 декабря, 2021 пользователем keenet07

[George An]

2 hours ago, Denis P said:

Не туда правила вешаете, нужно на домашний сегмент

Спасибо! Заработало!