Перейти к содержанию

Вопрос

Опубликовано (изменено)

все мы знаем о наличии такого замечательно чекбокса, который должен, судя по описанию

Цитата

"Ограничения распространяются на доступ к любым локальным службам, размещенным на устройстве, включая управление через веб и командную строку, приложения, использующие USB-накопители, проксирование KeenDNS на клиентов в локальных сетях, синхронизацию SNTP и т.д."

но по факту из других сегментов мы получаем доступ к вебу, по адресу устройства в домашнем (основном) сегменте
(но доступ, например, к вебу transmission и telnet/ssh мы уже не получим)
в то же время доступ к вебу на адресах других сегментов блокируется, успешно видим 403
по моему это не совсем очевидное поведение

 

Изменено пользователем Denis P

Рекомендуемые сообщения

  • 0
Опубликовано

Меня тоже интересует, что делает эта галочка на самом низком уровне. Потому как хочется её отключить для сегмента для безопасности, но вернуть это только для некоторых клиентов как-то через правила межсетевого экрана. Например для трансляции на Chromecast. Описывал эту проблему в другой теме. Но мне не ответили.

 

  • 0
Опубликовано (изменено)
3 часа назад, constgen сказал:

Меня тоже интересует, что делает эта галочка на самом низком уровне. Потому как хочется её отключить для сегмента для безопасности, но вернуть это только для некоторых клиентов как-то через правила межсетевого экрана. Например для трансляции на Chromecast. Описывал эту проблему в другой теме. Но мне не ответили.

 

то что она делает на самом низком уровне меня на самом деле не интересует, чтобы это увидеть, достаточно сравнить вывод show netfilter до и после её применения)

конкретно мой вопрос, если коротко, звучит так:
Почему (для чего?) не блокируется доступ к веб интерфейсу, по адресу, указанному в домашней (основной) сети, при активации этого чекбокса в настройках других сегментов?
 

Изменено пользователем Denis P
  • 0
Опубликовано

Пока ждём официального ответа, могу сказать что я где-то на 4PDA вычитал что это ожидаемое поведение, если роутер открыт для доступа извне (из Интернета). Что именно это за настройка я так и не разобрался. То ли это с KeenDNS связано, то ли с вкладкой "Пользователи и доступ". Но там сказали что правильным будет в фаерволле закрыть маршрут на `192.168.1.1` в настройках каждого сегмента локальной сети. Я так и сделал.

Спойлер

image.thumb.png.16c156e96d1f759ba181e4747490940b.png

На скриншоте я закрыл не только к роутеру но и к 192.168.1.[1-16], т.к. к Mesh ретрансляторам оказалось тоже доступ есть. А у меня первые 10 адресов для таких сервисных вещей выделены.

  • 0
Опубликовано
4 минуты назад, constgen сказал:

если роутер открыт для доступа извне (из Интернета)

Верно, если открыт 80й порт, т.е HTTP, но это не тот случай

  • 0
Опубликовано (изменено)
3 минуты назад, constgen сказал:

Я понимаю. Но там есть какой-то побочный эффект - открывается не только наружу но и во внутрь.

так я вам и говорю, что случай не тот - доступ наружу по HTTP закрыт, про данный "эффект" я в курсе)

Изменено пользователем Denis P
  • 0
Опубликовано

сейчас попробовал на версии 4.3.4

есть два доп. сегмента: гостевая сеть и еще один

"Доступ к приложениям вашего устройства Keenetic" в сегментах отключен

Доступ из Интернета к веб отключен

При подключении к доп.сегментам могу попасть на веб роутера по ip Домашнего сегмента (192.168.1.1)

Раньше, если правильно помню, доступа не было при таких настройках

По конфигу у сегментов security-level protected

self-test ниже загрузил

  • 0
Опубликовано
3 минуты назад, project_fcc сказал:

сейчас попробовал на версии 4.3.4

есть два доп. сегмента: гостевая сеть и еще один

"Доступ к приложениям вашего устройства Keenetic" в сегментах отключен

Доступ из Интернета к веб отключен

При подключении к доп.сегментам могу попасть на веб роутера по ip Домашнего сегмента (192.168.1.1)

Раньше, если правильно помню, доступа не было при таких настройках

По конфигу у сегментов security-level protected

self-test ниже загрузил

об этом и речь, техподдержка заверяет что это ожидаемое поведение но мне оно таковым совсем не кажется
по этому и завел тему на форуме, чтобы разработчиков услышать

  • 0
Опубликовано
53 минуты назад, Denis P сказал:

об этом и речь, техподдержка заверяет что это ожидаемое поведение но мне оно таковым совсем не кажется
по этому и завел тему на форуме, чтобы разработчиков услышать

У себя нашел причину такого поведения.

Ранее было создано доменное имя 4-го уровня на порту 78 для доступа к веб transmission.

Если в настройках включен "свободный доступ" или "авторизованный доступ", то получаем доступ к веб роутера из другого сегмента, хотя в сегменте доступ запрещен.

Спойлер

crazedns.thumb.png.27ed7d9b778af8d379e341e414bd9d17.png

Аналогичное поведение, если создать доменное имя 4-го уровня с доступом для какого-либо устройства в локальной сети.

Если отключить доступ/удалить доменное имя 4-го, то из доп. сегментов нет доступа к веб роутера по ip домашней сети и по адресу шлюза доп.сегмента нет ошибки 403, просто не открывается страница.

По моему не совсем логичное поведение в целом.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.