Отключение правила

[Bolt]

было создано NDM-3067 давно, суть в том , что при создании правила (подключение по RDP) в межсетевом экране - подключение работает, но если это правило выключить - связь не обрывается. Этот баг действует и на любые другие правила, как пример - подключение к по 80 порту- работает вне зависимости от того запрещено или нет, до тех пор пока просто не перегрузишь устройство 

это же дыра в безопасности

[Le ecureuil]

17 часов назад, keenet07 сказал:

Понятно. А если так: вместо DROP используем REJECT с отправкой TCP RST на сервер или и на клиент и на сервер для надежности. (REJECT --reject-with tcp-reset). Удаляем conntrack запись.  Сокет закроется по правилам TCP. Соединение разовётся. Не даем пересоздавать запись CONNTRACK как NEW из-за запрещающего правила фервола.

Или есть какие-то нюансы?

Конечно есть.

1. tcp rst - это, по хорошему, вмешательство в трафик. Хотя вроде администратор сам этого хочет.

2. А сколько должна жить эта блокирующая запись в нетфильтре?

3. На нее могут попадать и легитимные соединения от, скажем, другого проброса - что не очень хорошо.

[avn]

3 часа назад, Le ecureuil сказал:

Конечно есть.

1. tcp rst - это, по хорошему, вмешательство в трафик. Хотя вроде администратор сам этого хочет.

2. А сколько должна жить эта блокирующая запись в нетфильтре?

3. На нее могут попадать и легитимные соединения от, скажем, другого проброса - что не очень хорошо.

Так, стоп, тут не хорошо, а то что мы натыкаемся в правилах на не легитимную цепочку по 443 порту, то это нормально?

== Chain INPUT ==
src: 0.0.0.0/0, dst: 0.0.0.0/0, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; jump to "_NDM_HTTP_INPUT_TLS_"

 

[Bolt]

6 часов назад, Le ecureuil сказал:

2. А сколько должна жить эта блокирующая запись в нетфильтре?

эту блокирующую запись можно отключить/удалить?

если да, то после отключения правил {перевода в "запрещено") удалит и жту запись.

6 часов назад, Le ecureuil сказал:

3. На нее могут попадать и легитимные соединения от, скажем, другого проброса - что не очень хорошо.

в моем случае интерес представляет соединение rdp, т.е. есть только один источник и только один приемник. поэтому других легитимных нет.

[Bolt]

6 часов назад, Le ecureuil сказал:

1. tcp rst - это, по хорошему, вмешательство в трафик. Хотя вроде администратор сам этого хочет.

со стороны админа - однозначно вмешательство и есть цель.

[Bolt]

6 часов назад, Le ecureuil сказал:

с отправкой TCP RST на сервер или и на клиент и на сервер для надежности.

а вот отправлять на сервер или клиенту это не надо, только управление роутером

[keenet07]

22 часа назад, Le ecureuil сказал:

Конечно есть.

1. tcp rst - это, по хорошему, вмешательство в трафик. Хотя вроде администратор сам этого хочет.

2. А сколько должна жить эта блокирующая запись в нетфильтре?

3. На нее могут попадать и легитимные соединения от, скажем, другого проброса - что не очень хорошо.

1. Но в рамках стандарта. И исключительно точечно.

2. В теории пока есть исходное общее запрещающее правило фаервола. Как правило будет деактивировано, можно и эту блокировку удалять. Но опять же наверное есть нюансы.

3. Тут да. Всякое может случиться. Эту блокировку можно и не ставить отдельно. По идее TCP RST если сработает и так уже должен будет прервать соединение. Серверная сторона же не должна после этого что-то слать клиенту наружу. А  новые входящие и так будут заблокированы фаерволом. Или не так?

Изменено 22 апреля пользователем keenet07

[Le ecureuil]

Так нет никакого запрета, есть отключенный проброс, но зеркального правила "на выход" - явно нет.

[Denis P]

В 20.04.2025 в 16:13, Le ecureuil сказал:

Эта возможность у вас уже  есть. Создаете access-list, вешаете его на output ISP (в вебе только на input), создаете запрещающее правило, зеркальное пробросу, и дальше выключаете.

разве если повесить его через веб на "Home" не будет того же эффекта? как раз output из-за security level private

[Bolt]

В 20.04.2025 в 19:44, keenet07 сказал:

Но можно сделать и для веб-интерфейса. Но это дольше и сложнее. Но удобнее. На форуме есть метода.

можно ссылку где это есть?

[Bolt]

В 20.04.2025 в 18:13, Le ecureuil сказал:

Эта возможность у вас уже  есть. Создаете access-list, вешаете его на output ISP (в вебе только на input), создаете запрещающее правило, зеркальное пробросу, и дальше выключаете.

пример в командах cli можно?

[vasek00]

3 часа назад, Bolt сказал:

пример в командах cli можно?

Загляните в конф файле роутера, там скорей всего пример уже есть у вас применения acces-list, например 

1.

access-list _WEBADMIN_Wireguard0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description Warp-TCP
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description Warp-UDP
    auto-delete

Цитата

3.3 access-list

Описание

Доступ к группе команд для настройки выбранного списка правил фильтрации пакетов. Если список не найден, команда пытается его

создать. Такой список может быть присвоен сетевому интерфейсу с помощью команды interface ip access-group.
Вхождение в группу (config-acl)
Синопсис
(config)> access-list ‹name›

2.

interface Wireguard0
...
     ip access-group _WEBADMIN_Wireguard0 in

Цитата

3.29.84 interface ip access-group
Описание Привязать именованный список правил фильтрации (ACL, см. access-list) к интерфейсу. Параметр in или out указывает направление трафика для которого будет применяться ACL. К одному интерфейсу может быть привязано несколько ACL. 

(config-if)>ip access-group <acl> <direction>

тут "config-if" это после ввода "interface Wireguard0"

А так справочник команд для роутера, или WEB/cli и набрать например "access-list" далее пробел, далее клавишу TAB.

Для второй так же "interface Wireguard0" пробел TAB "ip" пробел TAB "access-group" пробел TAB и т.д.

Изменено 27 апреля пользователем vasek00

[keenet07]

3 часа назад, Bolt сказал:

можно ссылку где это есть?

 

[Bolt]

 

сделал как показано, но там как подключатьVPN а мне надо просто rdp

 

(как вставить в сообщение имя участника форума)

Изменено 27 апреля пользователем Bolt

[keenet07]

1 час назад, Bolt сказал:

сделал как показано, но там как подключатьVPN а мне надо просто rdp

 

(как вставить в сообщение имя участника форума)

Если вы про мою ссылку, то описан способ выноса в веб-интерфейс в меню Межсетевой экран вкладки которая позволит создавать там правила для исходящих соединений на WAN. VPN там используется только для того чтоб создать в веб эту вкладку.

Вам это нужно было для быстрого и удобного создания зеркального правила вместе с основным запрещающим входящие.

(чтоб выбрать никнейм напишите @ и сразу начинайте писать никнейм как есть. @Bolt)

Изменено 27 апреля пользователем keenet07

[Bolt]

23 часа назад, keenet07 сказал:

VPN там используется только для того чтоб создать в веб эту вкладку.

совсем нет - создается вкладка конкретно для vpn. при "создании" вкладки создается интерфейс для конкретного vpn. создать вкладку не зависимую от интерфейса нельзя (?) 

[keenet07]

1 час назад, Bolt сказал:

совсем нет - создается вкладка конкретно для vpn. при "создании" вкладки создается интерфейс для конкретного vpn. создать вкладку не зависимую от интерфейса нельзя (?) 

Создается вкладка и access-list для VPN. А мы просто берем и второй строчкой  прописываем в блоке WAN (интерфейсе) конфига этот самый access-list с параметром out, как показано в примере. И всё. Теперь всё правила которые создаются в этой вкладке применяются для исходящих на WAN интерфейсе и к VPN для входящих, но т.к. VPN у нас фейковый, чисто для создания структуры, роли это не играет.

Внимательно почитайте, что там написано и разберитесь.

Изменено 28 апреля пользователем keenet07

[Bolt]

16 минут назад, keenet07 сказал:

Теперь всё правила которые создаются в этой вкладке применяются для исходящих на WAN интерфейсе и к VPN для входящих, но т.к. VPN у нас фейковый, чисто для создания структуры, роли это не играет.

я не только прочитал, но и проверил- правило создается , но в этом правиле требует ip сервера.  и соответственно без указания сервера ничего не подключается , что и индицируется на вкладке "системный монитор"

на вкладке "межсетевой экран" во вкладке (созданной для vpn) создаются правила для конкретного типа vpn. 

[keenet07]

7 минут назад, Bolt сказал:

я не только прочитал, но и проверил- правило создается , но в этом правиле требует ip сервера.  и соответственно без указания сервера ничего не подключается , что и индицируется на вкладке "системный монитор"

на вкладке "межсетевой экран" во вкладке (созданной для vpn) создаются правила для конкретного типа vpn. 

Куда вы там подключаться собрались? Как настроен VPN вообще роли не играет. Ну введите там что-нибудь произвольное. Включать его в интерфейсе подключений вам не нужно, от слова совсем. Просто создали и забудьте о нем. А лучше назовите его как-то понятно типа WAN out чтоб не путаться.

Всё правила которые вы будете добавлять в эту вкладку "для VPN" будут применяться как для самого VPN, так и для исходящих на WAN (то что вам и требуется), если вы сделаете всё так как написано в том сообщении. Третий раз это повторять не буду.

Возьмите да проверьте. Создайте правило блокировки для какого-то сайта по IP и попробуйте на него зайти.

Изменено 28 апреля пользователем keenet07

[keenet07]

Что касается самого правила, вам в любом случае придётся сначала выяснить IP адрес активного клиента RDP чтоб создать это зеркальное правило запрещающее со стороны сервера отправлять по порту RDP исходящие пакеты на адрес клиента. И делать это вручную в интерфейсе каждый раз, ну такое себе...

А если создать правило на "любой" ip-адрес по порту RDP и включать его когда нужно экстренно выкинуть клиента с RDP (конечно на ряду со всеми прочими необходимыми для этого действиями). То наверное это вариант. главное не забыть что такое правило полностью запретит вам подключаться к любому RDP с WAN интерфейса. Ну и домашней сети тоже. 

Изменено 28 апреля пользователем keenet07

[Bolt]

 

2 минуты назад, keenet07 сказал:

Что касается самого правила, вам в любом случае придётся сначала выяснить IP адрес активного клиента RDP чтоб создать это зеркальное правило запрещающее со стороны сервера отправлять по порту RDP исходящие пакеты на адрес клиента. И делать это вручную в интерфейсе каждый раз, ну такое себе...

это всё уже автоматизировано, и работает 😀. (с D-Link) 
в веб морде это для начала , для проверки обрубания коннекта

[Bolt]

сделал такое

Спойлер

access-list _WEBADMIN_L2TP0
    permit tcp 0.0.0.0 0.0.0.0 192.168.5.3 255.255.255.255 port eq 3389
    permit description eee
    auto-delete
!

---

interface GigabitEthernet0/Vlan2
    rename ISP
    description Prov
    dyndns nobind
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client hostname Keenetic
    ip dhcp client dns-routes
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    ip access-group _WEBADMIN_L2TP0 in
    ip global 61481
    ip no name-servers
    igmp upstream
    ipv6 address auto
    ipv6 prefix auto
    ipv6 no name-servers auto
    ping-check profile default
    led wan
    up

---

к этому и ещё

Спойлер

interface L2TP0
    description yyy
    role misc
    peer 111.111.111.111
    dyndns nobind
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp dns-routes
    ipcp address
    no ccp
    security-level public
    authentication identity 111
    authentication password ns3 z7SNwQr7aXhFFBXX7tBu34sn
    ip dhcp client dns-routes
    ip mtu 1400
    ip access-group _WEBADMIN_L2TP0 in
    ip global 59455
    ip tcp adjust-mss pmtu
    connect
    up

но подключиться по rdp не получается

Изменено 28 апреля пользователем Bolt

[keenet07]

16 минут назад, Bolt сказал:

но подключиться по rdp не получается

у кого? кто куда подключается?

192.168.5.3 это что?

[Bolt]

Только что, keenet07 сказал:

у кого? кто куда подключается?

192.168.5.3 это что?

подключение из внешнего инета к машине с 192.168.5.3

[keenet07]

10 минут назад, Bolt сказал:

подключение из внешнего инета к машине с 192.168.5.3

ваше правило «разрешить TCP-соединения с любого источника на хост 192.168.5.3 порт 3389» на интерфейсе WAN.

Для чего оно в этой вкладке для исходящего в интернет трафика?

Вам нужно правило "запретить TCP-соединения с 192.168.5.3 на любой внешний, либо какой-то конкретный внешний". Это будет зеркальным правилом для вашего основного с помощью которого вы входящие на RDP запрещаете.

Я надеюсь проброс порта то для соединения снаружи на вас RDP сервер сделан?

Изменено 28 апреля пользователем keenet07

[Bolt]

1 минуту назад, keenet07 сказал:

Я надеюсь проброс порта то для соединения снаружи на вас RDP сервер сделан?

обязательно

 

2 минуты назад, keenet07 сказал:

Вам нужно правило "запретить TCP-соединения с 192.168.5.3 на любой внешний, либо какой-то конкретный внешний"

для начала мне нужно подключиться из инета к компу. чтоб проверить как потом отключение срабатывает

[Bolt]

меняю местами эти две строчки 

ip access-group _WEBADMIN_ISP in
ip access-group _WEBADMIN_L2TP0 in

и все правила из _WEBADMIN_ISP исчезают  из основного интерфейса , вместо их появляются правила из _WEBADMIN_L2TP0

т.е. вторая строка игнорируется, поэтому и не работают нужные правила

[keenet07]

8 часов назад, Bolt сказал:

меняю местами эти две строчки 

ip access-group _WEBADMIN_ISP in
ip access-group _WEBADMIN_L2TP0 in

и все правила из _WEBADMIN_ISP исчезают  из основного интерфейса , вместо их появляются правила из _WEBADMIN_L2TP0

т.е. вторая строка игнорируется, поэтому и не работают нужные правила

Она игнорируется потому-что вы оба списка на входящие соединения (in) повесили и система обрабатывает первое.

А должно быть:

ip access-group _WEBADMIN_ISP in
ip access-group _WEBADMIN_L2TP0 out

Тогда и первая и вторая строки и соответственно и вкладки в интерфейсе будут работать.

Изменено 29 апреля пользователем keenet07

[MDP]

В 29.04.2025 в 08:56, keenet07 сказал:

Она игнорируется потому-что вы оба списка на входящие соединения (in) повесили и система обрабатывает первое.

А должно быть:

ip access-group _WEBADMIN_ISP in
ip access-group _WEBADMIN_L2TP0 out

Тогда и первая и вторая строки и соответственно и вкладки в интерфейсе будут работать.

Для уточнения и просветления...

ip access-group <--> in

ip access-group <--> out

справедливо для любого интерфейса же?

Лично мне интересно использовать на текущий момент не в конструкции взаимодействия WAN-LAN.

А надо внутри между VLAN. Оно думаю будет работать?

Мне для начала надо добавить на всех VLAN в интерфейсах 

ip access-group VLAN3 out 

ip access-group VLAN10 out 

.... и т.д.

Далее создаём правила в 

access-list VLAN3
    auto-delete

access-list VLAN10
    auto-delete

...и тд..

Чтобы ничего не прервалось на этапе создания. в access-list каждого VLAN надо добавить

последним правилом 

 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

А потом выше этого правила то, что разрешается на вход для этого интерфейса...

Например:

permit ip 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255

Разрешаем всё входящее от 192.168.3.18 на 192.168.10.133

 

Соответственно на правиле in другого vlan пишем всё наоборот?

 

Теперь мне надо например запретить моментально обращаться с хоста 192.168.3.18 на 192.168.10.133 по порту 443

Мне достаточно добавить 

deny tcp 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 port eq 443  ???

И всё...сразу всё прервётся и наступит "справедливость"?

Изменено 5 мая пользователем MDP

[keenet07]

4 часа назад, MDP сказал:

Для уточнения и просветления...

Сама конструкция in/out думаю да. 

4 часа назад, MDP сказал:

А надо внутри между VLAN. Оно думаю будет работать?

Не проверял применительно к VLAN.

4 часа назад, MDP сказал:

permit ip 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255

Разрешаем всё входящее от 192.168.3.18 на 192.168.10.133

Если вы это на правиле для входящих пишите, то получается разрешить входящие с 10.133 на 3.18

Главное не запутаться в виланах и направлениях.

4 часа назад, MDP сказал:

Соответственно на правиле in другого vlan пишем всё наоборот?

permit ip 192.168.3.18 255.255.255.255 192.168.10.133 255.255.255.255

разрешить входяшие с 3.18 на 10.133

 

4 часа назад, MDP сказал:

Теперь мне надо например запретить моментально обращаться с хоста 192.168.3.18 на 192.168.10.133 по порту 443

Мне достаточно добавить 

deny tcp 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 port eq 443  ???

И всё...сразу всё прервётся и наступит "справедливость"?

Одно запрещающее на IN другое на OUT (со стороны сервера). Чтоб соединение закрылось с обеих сторон. По идее. Но я всю эту конструкцию не проверял.

Изменено 5 мая пользователем keenet07