Отключение правила

[Bolt]

было создано NDM-3067 давно, суть в том , что при создании правила (подключение по RDP) в межсетевом экране - подключение работает, но если это правило выключить - связь не обрывается. Этот баг действует и на любые другие правила, как пример - подключение к по 80 порту- работает вне зависимости от того запрещено или нет, до тех пор пока просто не перегрузишь устройство 

это же дыра в безопасности

[Bolt]

то что написано

Цитата

Улучшения

• Отключение правил Переадресации портов (ip static) теперь запускает принудительное удаление соответствующих активных сессий. [NDM-3067]

не соответствует действительности. проверено и подтверждено

Цитата

Уточнили информацию у разработчиков. К сожалению да, наблюдаются странности в работе указанного функционала.

Работа и изучение вопроса ведется в рамках кейса NDM-3270. Точных сроков по выходу исправления у нас нет. Ожидаем в будущих версиях ПО.

но это было 15 ноября 2024 года. такое долгое исправление безопасности чревато.

надо бы ускорить

и такое не только у Giga. версия 4.3 Beta 4 а результат без изменения

 

 

Изменено Понедельник в 14:47 пользователем Bolt

[keenet07]

Правила в межсетевом экране действуют на момент установления соединения, если я не ошибаюсь. Если соединение установлено и вы отмените правило, то отмена скажется только на новые соединения. Установленное не прервется само. Если я ничего не путаю.

 

А вот отключение правил Переадресации портов вообще не имеют никакого отношения к правилам межсетевого экрана. 

Изменено Понедельник в 15:41 пользователем keenet07

[VVS]

5 минут назад, keenet07 сказал:

Правила в межсетевом экране действуют на момент установления соединения, если я не ошибаюсь. Если соединение установлено и вы отмените правило, то отмена скажется только на новые соединения. Установленное не прервется само. Если я ничего не путаю.

Не ошибаетесь и не путаете, всё именно так.

[Bolt]

вот в этом и проблема. если ктл-то сторонний подключился - то нет возможности его отключить, кроме как перегрузить роутер. а это может нарушить многое...

у D-Link DFL-260E, к примеру, отключение правила вызывает обрыв соединения.

если б через cli можно было обрывать соединение - меня б устроило, как временный вариант

Изменено Понедельник в 15:58 пользователем Bolt

[keenet07]

Не уверен насчет CLI, но в enware наверняка можно вручную отчистить таблицу активных соединений через conntrack -F.

Возможно было бы не плохо иметь такую кнопку также где-нибудь в веб-интерфейсе. Или увязать любые изменения правил с изменением этой таблицы. Не в курсе в чем там конкретно сложность, возможно используется stateful брандмауэр.

Видимо должна быть процедура после сохранения нового правила, которая ищет в таблице активных соединений подходящее по параметрам правила соединение и разрывает его. 

Изменено Понедельник в 16:51 пользователем keenet07

[Bolt]

может сообщения тут ускорит закрытие данных NDM. 

[keenet07]

3 минуты назад, Bolt сказал:

может сообщения тут ускорит закрытие данных NDM. 

Думаю @Le ecureuil может прояснить ситуацию с закрытием установленных соединений. Почему реализовано именно так. И возможно ли сделать иначе.

Изменено Понедельник в 16:57 пользователем keenet07

[Bolt]

1 час назад, keenet07 сказал:

Думаю @Le ecureuil может прояснить ситуацию с закрытием установленных соединений. Почему реализовано именно так. И возможно ли сделать иначе.

как у него спросить?

[keenet07]

10 минут назад, Bolt сказал:

как у него спросить?

Просто дождаться здесь. Я ник упомянул, будет уведомление.

[Denis P]

7 часов назад, Bolt сказал:

то что написано

не соответствует действительности. проверено и подтверждено

но это было 15 ноября 2024 года. такое долгое исправление безопасности чревато.

надо бы ускорить

и такое не только у Giga. версия 4.3 Beta 4 а результат без изменения

 

 

Вернитесь на ветку stable, там такой проблемы нет. 

[Bolt]

Цитата

Вернитесь на ветку stable, там такой проблемы нет. 

в том и проблема, что эта проблема на всех ветках. проверено.

нигде не написано про исправление 3270

Изменено вчера в 04:50 пользователем Bolt

[Denis P]

51 минуту назад, Bolt сказал:

в том и проблема, что эта проблема на всех ветках. проверено.

нигде не написано про исправление 3270

Перед тем как написать,  проверил на нескольких устройствах с 4.2.х из стабильной ветки и на 4.3.b4.

В первом случае не воспроизводится. Во втором -  отключение правила срабатывает с задержкой

[Bolt]

проверил 

создаю правило в межсетевом экране 

разрешить - tcp - ip источника -любой -192.168.33.3 -3389

и в переадресации портов правило

подключаюсь - работает

отключаю оба правила- продолжает работать...

какая задержка? минута ?

ЗЫ
SPEEDSTER

Изменено вчера в 06:04 пользователем Bolt

[MDP]

6 минут назад, Bolt сказал:

проверил 

создаю правило в межсетевом экране 

разрешить - tcp - ip источника -любой -192.168.33.3 -3389

и в переадресации портов правило

подключаюсь - работает

отключаю оба правила- продолжает работать...

какая задержка? минута ?

ЗЫ
SPEEDSTER

А если явно запрещающее правило поставить? ...в качестве эксперимента...

Изменено вчера в 06:09 пользователем MDP

[Bolt]

1 час назад, MDP сказал:

А если явно запрещающее правило поставить? ...в качестве эксперимента...

любой эксперимент поддерживается
переключение разрешено на запрещено - на подключение не влияет. если rdp прервать , то потом подключиться не даёт.
но пока сессия есть - её не отключает. вот что очень плохо...

[VVS]

5 минут назад, Bolt сказал:

любой эксперимент поддерживается
переключение разрешено на запрещено - на подключение не влияет. если rdp прервать , то потом подключиться не даёт.
но пока сессия есть - её не отключает. вот что очень плохо...

Ну почему "очень плохо"?

IMHO не очень хорошо, но абсолютно не критично.

[MDP]

2 минуты назад, VVS сказал:

Ну почему "очень плохо"?

IMHO не очень хорошо, но абсолютно не критично.

Ну так..видишь, что у тебя дитё порносайт смотрит, а поделать ничего не можешь )))) ...это плохо

[VVS]

1 минуту назад, MDP сказал:

Ну так..видишь, что у тебя дитё порносайт смотрит, а поделать ничего не можешь )))) ...это плохо

Угу, а так закрою сразу 80 и 443 порты и всё будет в порядке.🤣

[vk11]

13 минут назад, VVS сказал:

IMHO не очень хорошо, но абсолютно не критично.

Не, сброс соединений маст хэв. В том или ином виде... IMHO, конечно.

[MDP]

1 минуту назад, vk11 сказал:

Не, сброс соединений маст хэв. В том или ином виде... IMHO, конечно.

Я считаю опционально сброс соединений должен быть при добавлении/удалении/изменении любого правила в МСЭ. 

[VVS]

10 минут назад, vk11 сказал:

Не, сброс соединений маст хэв. В том или ином виде... IMHO, конечно.

Я тоже считаю, что это желательно реализовать, но особой критичности в этом не вижу, тем более не вижу никакого основания характеризовать текущую ситуацию как "очень плохо".

[Bolt]

не только в МСЭ, но и в переадресации портов, потому как при нескольких рдп подключениях надо свой порт назначать и отключения правила в мсэ надо и в переадресации отключать.

почему "очень плохо" ? - так если это ребёнок - то как-бы ну, а вот если кто-то из взломщиков - то не "очень плохо" , а "очень очень плохо"

[Denis P]

2 часа назад, Bolt сказал:

проверил 

создаю правило в межсетевом экране 

разрешить - tcp - ip источника -любой -192.168.33.3 -3389

и в переадресации портов правило

подключаюсь - работает

отключаю оба правила- продолжает работать...

какая задержка? минута ?

ЗЫ
SPEEDSTER

Так у вас настроена и переадресация и правила в мсэ?

[Bolt]

1 минуту назад, Denis P сказал:

Так у вас настроена и переадресация и правила в мсэ?

да, иначе не получается направить на конкретный комп. это из рекомендаций кинетик

[VVS]

11 минут назад, Bolt сказал:

почему "очень плохо" ? - так если это ребёнок - то как-бы ну, а вот если кто-то из взломщиков - то не "очень плохо" , а "очень очень плохо"

Если у Вас всё так плохо, что взломщик смог подключиться, то реализация этого Вашего запроса уже не поможет.

Поэтому я и не считаю реализацию этой фичи хоть сколько нибудь критичной, хотя и считаю её желательной.

[MDP]

1 минуту назад, VVS сказал:

то реализация этого Вашего запроса уже не поможет.

 

Почему не поможет? Как раз поможет... 

У меня ещё эксперимент... @Bolt

А если правило запрещающее именно создать новое! ...а не переделывать из разрешающего в запрещающее? 

[Bolt]

Только что, VVS сказал:

Если у Вас всё так плохо, что взломщик смог подключиться, то реализация этого Вашего запроса уже не поможет.

согласен, но есть нюанс   

в любом случае чем раньше отключить - тем лучше. а так остаётся только наблюдать как сеть имеют, только свечки не хватает

т

[Bolt]

2 минуты назад, MDP сказал:

А если правило запрещающее именно создать новое! ...а не переделывать из разрешающего в запрещающее? 

вариант интересный, проверю, но это как затыкание дырки. временное решение.

у меня это необходимо для двух случаев - вручную, со смартфона, и через cli из телеграм-бота.

Изменено вчера в 08:35 пользователем Bolt

[Denis P]

15 минут назад, Bolt сказал:

да, иначе не получается направить на конкретный комп. это из рекомендаций кинетик

Зачем же вы тогда создаете разрешающее правило в мсэ, если при пробросе порта это не требуется? Имеет смысл только запрещающее, если нужно ограничить доступ временно или в соответствии с определенными критериями

[Bolt]

2 минуты назад, Denis P сказал:

Зачем же вы тогда создаете разрешающее правило в мсэ, если при пробросе порта это не требуется? Имеет смысл только запрещающее, если нужно ограничить доступ временно или в соответствии с определенными критериями

надо указать конкретный ip с которого дается доступ и конкретный ip к которому даётся доступ, и порт с которого разрешён доступ