Логика работы чекбокса "Доступ к приложениям вашего устройства Keenetic"

[Denis P]

все мы знаем о наличии такого замечательно чекбокса, который должен, судя по описанию

Цитата

"Ограничения распространяются на доступ к любым локальным службам, размещенным на устройстве, включая управление через веб и командную строку, приложения, использующие USB-накопители, проксирование KeenDNS на клиентов в локальных сетях, синхронизацию SNTP и т.д."

но по факту из других сегментов мы получаем доступ к вебу, по адресу устройства в домашнем (основном) сегменте
(но доступ, например, к вебу transmission и telnet/ssh мы уже не получим)
в то же время доступ к вебу на адресах других сегментов блокируется, успешно видим 403
по моему это не совсем очевидное поведение

 

Edited Friday at 04:51 PM by Denis P

[constgen]

Меня тоже интересует, что делает эта галочка на самом низком уровне. Потому как хочется её отключить для сегмента для безопасности, но вернуть это только для некоторых клиентов как-то через правила межсетевого экрана. Например для трансляции на Chromecast. Описывал эту проблему в другой теме. Но мне не ответили.

 

[Denis P]

3 часа назад, constgen сказал:

Меня тоже интересует, что делает эта галочка на самом низком уровне. Потому как хочется её отключить для сегмента для безопасности, но вернуть это только для некоторых клиентов как-то через правила межсетевого экрана. Например для трансляции на Chromecast. Описывал эту проблему в другой теме. Но мне не ответили.

 

то что она делает на самом низком уровне меня на самом деле не интересует, чтобы это увидеть, достаточно сравнить вывод show netfilter до и после её применения)

конкретно мой вопрос, если коротко, звучит так:
Почему (для чего?) не блокируется доступ к веб интерфейсу, по адресу, указанному в домашней (основной) сети, при активации этого чекбокса в настройках других сегментов?
 

Edited Friday at 08:53 PM by Denis P

[constgen]

Пока ждём официального ответа, могу сказать что я где-то на 4PDA вычитал что это ожидаемое поведение, если роутер открыт для доступа извне (из Интернета). Что именно это за настройка я так и не разобрался. То ли это с KeenDNS связано, то ли с вкладкой "Пользователи и доступ". Но там сказали что правильным будет в фаерволле закрыть маршрут на `192.168.1.1` в настройках каждого сегмента локальной сети. Я так и сделал.

Спойлер

На скриншоте я закрыл не только к роутеру но и к 192.168.1.[1-16], т.к. к Mesh ретрансляторам оказалось тоже доступ есть. А у меня первые 10 адресов для таких сервисных вещей выделены.

[Denis P]

4 минуты назад, constgen сказал:

если роутер открыт для доступа извне (из Интернета)

Верно, если открыт 80й порт, т.е HTTP, но это не тот случай

[constgen]

Я понимаю. Но там есть какой-то побочный эффект - открывается не только наружу но и во внутрь.

[Denis P]

3 минуты назад, constgen сказал:

Я понимаю. Но там есть какой-то побочный эффект - открывается не только наружу но и во внутрь.

так я вам и говорю, что случай не тот - доступ наружу по HTTP закрыт, про данный "эффект" я в курсе)

Edited Saturday at 09:04 AM by Denis P

[project_fcc]

сейчас попробовал на версии 4.3.4

есть два доп. сегмента: гостевая сеть и еще один

"Доступ к приложениям вашего устройства Keenetic" в сегментах отключен

Доступ из Интернета к веб отключен

При подключении к доп.сегментам могу попасть на веб роутера по ip Домашнего сегмента (192.168.1.1)

Раньше, если правильно помню, доступа не было при таких настройках

По конфигу у сегментов security-level protected

self-test ниже загрузил

[Denis P]

3 минуты назад, project_fcc сказал:

сейчас попробовал на версии 4.3.4

есть два доп. сегмента: гостевая сеть и еще один

"Доступ к приложениям вашего устройства Keenetic" в сегментах отключен

Доступ из Интернета к веб отключен

При подключении к доп.сегментам могу попасть на веб роутера по ip Домашнего сегмента (192.168.1.1)

Раньше, если правильно помню, доступа не было при таких настройках

По конфигу у сегментов security-level protected

self-test ниже загрузил

об этом и речь, техподдержка заверяет что это ожидаемое поведение но мне оно таковым совсем не кажется
по этому и завел тему на форуме, чтобы разработчиков услышать

[project_fcc]

53 минуты назад, Denis P сказал:

об этом и речь, техподдержка заверяет что это ожидаемое поведение но мне оно таковым совсем не кажется
по этому и завел тему на форуме, чтобы разработчиков услышать

У себя нашел причину такого поведения.

Ранее было создано доменное имя 4-го уровня на порту 78 для доступа к веб transmission.

Если в настройках включен "свободный доступ" или "авторизованный доступ", то получаем доступ к веб роутера из другого сегмента, хотя в сегменте доступ запрещен.

Спойлер

Аналогичное поведение, если создать доменное имя 4-го уровня с доступом для какого-либо устройства в локальной сети.

Если отключить доступ/удалить доменное имя 4-го, то из доп. сегментов нет доступа к веб роутера по ip домашней сети и по адресу шлюза доп.сегмента нет ошибки 403, просто не открывается страница.

По моему не совсем логичное поведение в целом.