Отключение правила

[Bolt]

было создано NDM-3067 давно, суть в том , что при создании правила (подключение по RDP) в межсетевом экране - подключение работает, но если это правило выключить - связь не обрывается. Этот баг действует и на любые другие правила, как пример - подключение к по 80 порту- работает вне зависимости от того запрещено или нет, до тех пор пока просто не перегрузишь устройство 

это же дыра в безопасности

[Bolt]

2 минуты назад, Denis P сказал:

Зачем же вы тогда создаете разрешающее правило в мсэ, если при пробросе порта это не требуется? Имеет смысл только запрещающее, если нужно ограничить доступ временно или в соответствии с определенными критериями

надо указать конкретный ip с которого дается доступ и конкретный ip к которому даётся доступ, и порт с которого разрешён доступ

[VVS]

13 минут назад, MDP сказал:

Почему не поможет? Как раз поможет...

Нет, уже "всё украдено до вас". (c)

[MDP]

1 минуту назад, VVS сказал:

Нет, уже "всё украдено до вас". (c)

...ну не всё...может ещё только в процессе ))))

Самое паскудное то, что пока "злоумышленник" сессию держит (ну какой нибудь TCPping запустил) , то эта "дырень" будет всегда открыта?

[Denis P]

8 минут назад, Bolt сказал:

надо указать конкретный ip с которого дается доступ и конкретный ip к которому даётся доступ, и порт с которого разрешён доступ

Запрещающее правило создано при этом? 

[VVS]

18 минут назад, Bolt сказал:

согласен, но есть нюанс   

в любом случае чем раньше отключить - тем лучше. а так остаётся только наблюдать как сеть имеют, только свечки не хватает

У меня, насколько я Вас понял, реализовано примерно тоже самое, что и у Вас - доступ по RDP к домашнему компу с работы разрешён, доступ из других мест запрещён. При этом я иногда открываю доступ и из других мест, но не надолго.

Но вот Ваше пожелание отнюдь не считаю критичным для себя.

[Bolt]

1 минуту назад, Denis P сказал:

Запрещающее правило создано при этом? 

какое правило? в конце всех правил- создано запрещающее правило для всех.

[VVS]

9 минут назад, MDP сказал:

...ну не всё...может ещё только в процессе ))))

Самое паскудное то, что пока "злоумышленник" сессию держит (ну какой нибудь TCPping запустил) , то эта "дырень" будет всегда открыта?

Дык ему сперва нужно подключиться, а свободных портов больше 15000, пусть сперва угадает, к какому подключаться.

[Bolt]

Только что, VVS сказал:

Но вот Ваше пожелание отнюдь не считаю критичным для себя.

для себя - да, тут сам виноват - если чё.

но у меня доступ по рдп осуществляется для зарегистрированных в тлеграм-боте  пользователей

юзер заходит на страницу - видит код - вводит этот код в боте и полу чает доступ с этого ip

заканчивает работу -в боте выбирает закрыть ip - всё. 

[Bolt]

4 минуты назад, VVS сказал:

Дык ему сперва нужно подключиться, а свободных портов больше 15000, пусть сперва угадает, к какому подключаться.

ну а если надо подключиться в общественном месте? где все просматривается?
впн не катит, т.к. на все компы юзеров свой впн не установишь. а так - закрыл по номеру тел. и все - доступа нет

[VVS]

1 минуту назад, Bolt сказал:

ну а если надо подключиться в общественном месте? где все просматривается?

А как в общественном месте кто-то увидит, по какому порту я подключаюсь?

[Bolt]

6 минут назад, VVS сказал:

А как в общественном месте кто-то увидит, по какому порту я подключаюсь?

при подключении по рдп - из-за спины посмотреть не проблема.
это конечно грубо, но не исключено.

[VVS]

37 минут назад, Bolt сказал:

при подключении по рдп - из-за спины посмотреть не проблема.
это конечно грубо, но не исключено.

Я ж не руками набираю - есть соответствующая иконка, я в неё тапаю и RDP поднимается.

А в интерфейсе netcraze, где я временно разрешаю доступ, порт не указан, точнее указан стандартный порт.

[MDP]

54 минуты назад, VVS сказал:

Я ж не руками набираю - есть соответствующая иконка, я в неё тапаю и RDP поднимается.

А в интерфейсе netcraze, где я временно разрешаю доступ, порт не указан, точнее указан стандартный порт.

ну это всё мелкие нюансы...откуда мы знаем, кто как и где мог оставить свои реквизиты для подключения? ...вот мне сегодня позвонил из страховой чел, и начал на КАСКО разводить....откуда он знает мой телефон авто и как меня зовут?

Я сразу трубку положил, считай сбросил сессию..)))

Всё-же правильно и архинужно и архиважно ,чтобы правила работали мгновенно!!! ...тем более запрещающие.

 

[vk11]

3 часа назад, MDP сказал:

ну это всё мелкие нюансы...откуда мы знаем, кто как и где мог оставить свои реквизиты для подключения? ...вот мне сегодня позвонил из страховой чел, и начал на КАСКО разводить....откуда он знает мой телефон авто и как меня зовут?

Я сразу трубку положил, считай сбросил сессию..)))

Ну, не мелкие, да и куча всего - от организационных вопросов до конкретных протоколов и т.п... Но, это все - "ДО". А вот рубильник - это уже "ПОСЛЕ", это из раздела "реагирование"  Рубильник должен быть

[keenet07]

16 часов назад, Le ecureuil сказал:

Вобщем то, как вам кажется "красивым" на самом деле имеет еще больше неопределенности, чем то, как сделано сейчас. Потому не вижу смысла что-то делать дополнительно, все работает как задумано.

А есть какая-то команда которая просто в любой момент разорвёт все активные соединения? Со всеми вытекающими.

Кому-то уже этого было бы достаточно. Наверное можно было бы хук на событие поставить.

Если просто отключить и включить WAN это поможет или не поможет в этих целях?

Изменено 20 апреля пользователем keenet07

[Bolt]

13 часов назад, Le ecureuil сказал:

Если кратко, то на самом деле все работает и работает правильно, но вы видимо не очень понимаете сам принцип работы conntrack в сочетании с TCP.

ту дело не в понимании, а в том что должно быть для безопасности. и как пример - D-link DFL-260E отключаем правило - обрывается коннект.

 

[Bolt]

18 часов назад, Le ecureuil сказал:

Если делать как вы хотите, чтобы прям 100% все блокировалось, то нужно на каждую запись в conntrack создавать временную запрещающую запись в firewall, чтобы этот ответный трафик из LAN тоже блокировать. Но с какой, простите, стати? И сколько эта запрещающая запись должна существовать? А что если на нее начнут попадать другие, легитимные соединения, ведь здесь уже нельзя различить трафик, который был инициирован как проброс из WAN и трафик, который был инициирован из локальной сети?

что делает "запрещающая запись" - обрывает соединение, сессию? если так, то после выключения правила в переадресации портов и (или) в сетевом экране надо удалить эту запись.

Цитата

А что если на нее начнут попадать другие, легитимные соединения...

какие? ведь правило создается  для конкретного соединения 

[Bolt]

18 часов назад, keenet07 сказал:

Если просто отключить и включить WAN это поможет или не поможет в этих целях?

может и поможет, но это повлияет на все подключения для всех клиентов....

[Bolt]

В 01.04.2025 в 11:08, MDP сказал:

А если явно запрещающее правило поставить? ...в качестве эксперимента...

при работающем подключении создал запрещающее правило - не помогло

[Bolt]

19 часов назад, Le ecureuil сказал:

это не дырка....

ну как не дырка, если нет возможности прекратить не нужное соединение - самая настоящая дыра.

[MDP]

4 минуты назад, Bolt сказал:

при работающем подключении создал запрещающее правило - не помогло

Фигово... если явное запрещающее правило (новенькое) и не работает.

@Le ecureuil а может имеет смысл сделать команду в CLI ... типа clear ip connections ... и в веб кнопку вывести?

[keenet07]

38 минут назад, Bolt сказал:

может и поможет, но это повлияет на все подключения для всех клиентов....

Ну если по другому не хотят или проблемотично сделать. То как частное решение может сгодиться. Ставим хук на изменение правил фаервола по которому произойдет сброс всех соединений интерфейса или вообще всех. Как решение для частного случая вполне может сгодиться. Вам срочно нужно отключить сервис с отключением клиентов, вы идёте на жертвы. Ну хотя бы такое решение будет. Вы часто что-то меняете в фаерволе? Что нужно само переподключится.

А что сейчас? Ждать или перезагружать устройство.

Изменено 20 апреля пользователем keenet07

[Bolt]

8 минут назад, MDP сказал:

а может имеет смысл сделать команду в CLI ... типа clear ip connections ... и в веб кнопку вывести?

дак это как вариант вполне подходящий

 

6 минут назад, keenet07 сказал:

А что сейчас? Ждать или перезагружать устройство.

ага...

[Le ecureuil]

22 часа назад, keenet07 сказал:

А есть какая-то команда которая просто в любой момент разорвёт все активные соединения? Со всеми вытекающими.

Кому-то уже этого было бы достаточно. Наверное можно было бы хук на событие поставить.

Если просто отключить и включить WAN это поможет или не поможет в этих целях?

Что значит "разорвет все активные соединения"? Очистка conntrack? Так это уже происходит. Но суть-то в том, что сокеты на клиенте и на сервере вообще никак к роутеру не относятся, и потому для них соединение продолжает жить. А поскольку трафик из локальной сети в WAN является легитимным, и никаких ограничений на него нет, то первый же пакет в ту сторону от "сервера", на который проброшен порт, опять пересоздаст запись в conntrack.

Потому давайте еще раз разберемся - что такое "разорвет активные соединения"?

[Le ecureuil]

9 часов назад, Bolt сказал:

ту дело не в понимании, а в том что должно быть для безопасности. и как пример - D-link DFL-260E отключаем правило - обрывается коннект.

 

Сейчас сделано точно также.

[Le ecureuil]

3 часа назад, MDP сказал:

Фигово... если явное запрещающее правило (новенькое) и не работает.

@Le ecureuil а может имеет смысл сделать команду в CLI ... типа clear ip connections ... и в веб кнопку вывести?

Еще раз повторяю - это УЖЕ ПРОИСХОДИТ. Прочитайте еще раз мой пост с подробным описанием до просветления, там все написано в деталях.

[Le ecureuil]

3 часа назад, Bolt сказал:

ну как не дырка, если нет возможности прекратить не нужное соединение - самая настоящая дыра.

Эта возможность у вас уже  есть. Создаете access-list, вешаете его на output ISP (в вебе только на input), создаете запрещающее правило, зеркальное пробросу, и дальше выключаете.

[keenet07]

1 час назад, Le ecureuil сказал:

Что значит "разорвет все активные соединения"? Очистка conntrack? Так это уже происходит. Но суть-то в том, что сокеты на клиенте и на сервере вообще никак к роутеру не относятся, и потому для них соединение продолжает жить. А поскольку трафик из локальной сети в WAN является легитимным, и никаких ограничений на него нет, то первый же пакет в ту сторону от "сервера", на который проброшен порт, опять пересоздаст запись в conntrack.

Потому давайте еще раз разберемся - что такое "разорвет активные соединения"?

Понятно. А если так: вместо DROP используем REJECT с отправкой TCP RST на сервер или и на клиент и на сервер для надежности. (REJECT --reject-with tcp-reset). Удаляем conntrack запись.  Сокет закроется по правилам TCP. Соединение разовётся. Не даем пересоздавать запись CONNTRACK как NEW из-за запрещающего правила фервола.

Или есть какие-то нюансы?

Изменено 20 апреля пользователем keenet07

[Bolt]

56 минут назад, Le ecureuil сказал:

Создаете access-list, вешаете его на output ISP (в вебе только на input), создаете запрещающее правило, зеркальное пробросу, и дальше выключаете.

я не нашёл в мануалах output ISP, можно пример?

[keenet07]

44 минуты назад, Bolt сказал:

я не нашёл в мануалах output ISP, можно пример?

output isp это исходящий трафик направленный в интернет на WAN интерфейсе.

input isp соответственно входящий.

Подробно для вашей конфигурации посмотрите в самом конфиге роутера как это выглядит. В команде ставится либо IN, либо OUT.

Правило для исходящих на WAN сможете создать только в CLI или ручками в конфиге. Соответственно включать и отключать так же.

Но можно сделать и для веб-интерфейса. Но это дольше и сложнее. Но удобнее. На форуме есть метода.

Изменено 20 апреля пользователем keenet07