Oleksii Posted November 21, 2017 Posted November 21, 2017 Приветствую, Настраиваю Keenetic Ultra 2.11.A.8.0-5. Хочу изолировать гостевую сеть от домашней. Есть 3 сети: Home 192.168.1.0/28 Guest 192.168.2.0/28 L2TP 192.168.3.0/28 (не рассматриваем) Настройки сетевого экрана: Home только deny (Откуда -> куда -> протокол) 192.168.2.0/28 -> any -> TCP any -> 192.168.2.0 -> TCP аналогично UDP, ICMP, IP Spoiler deny tcp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny tcp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny udp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny icmp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny ip 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny tcp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 deny udp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 deny icmp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 deny ip 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 Guest только deny (Откуда -> куда -> протокол) 192.168.1.0/28 -> any -> TCP any -> 192.168.1.0 -> TCP аналогично UDP, ICMP, IP Spoiler deny tcp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 deny udp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 deny icmp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 deny ip 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 Подключаюсь к гостевой сети по Wi-Fi, веб-морда роутера не открывается (ok), но вот samba работает прекрасно (плохо): Spoiler PS C:\Users> Get-NetIPConfiguration -InterfaceIndex 13 InterfaceAlias : Беспроводная сеть InterfaceIndex : 13 InterfaceDescription : Intel(R) Dual Band Wireless-AC 3165 NetProfile.Name : Guest 2 IPv4Address : 192.168.2.13 IPv6DefaultGateway : IPv4DefaultGateway : 192.168.2.1 DNSServer : 192.168.2.1 PS C:\Users> ping 192.168.1.1 Обмен пакетами с 192.168.1.1 по с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 192.168.1.1: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь) PS C:\Users> netstat Активные подключения Имя Локальный адрес Внешний адрес Состояние TCP 127.0.0.1:49680 aaaaaaaa:65001 ESTABLISHED TCP 127.0.0.1:55257 aaaaaaaa:wsd TIME_WAIT TCP 127.0.0.1:55263 aaaaaaaa:wsd TIME_WAIT TCP 127.0.0.1:55264 aaaaaaaa:wsd TIME_WAIT TCP 127.0.0.1:65001 aaaaaaaa:49680 ESTABLISHED TCP 192.168.2.13:55260 db5wns1d:https TIME_WAIT TCP 192.168.2.13:55261 db5sch101100128:https ESTABLISHED TCP 192.168.2.13:55262 db5wns1d:https TIME_WAIT TCP 192.168.2.13:55267 db5sch101101209:https ESTABLISHED TCP 192.168.2.13:55269 lh-in-f188:https ESTABLISHED TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED TCP [::1]:55258 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55265 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55266 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55268 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55271 aaaaaaaa:wsd TIME_WAIT Откуда там взялся " TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED"?! Как оставить samba только для домашней сети? Quote
0 r13 Posted November 21, 2017 Posted November 21, 2017 (edited) Имхо все эти правила не нужны, доступа из гостевой сети и так не должно быть если не стоит галка "Разрешить доступ к интернет-центру:" в настройках гостевого сегмента. Если не так, то похоже на баг так как в конфигурации по умолчанию из гостевой сети есть доступ только к dhcp и dns роутера,все остальное запрещено. зы правило для протокола ip перекрывает остальные правила Edited November 21, 2017 by r13 Quote
0 Oleksii Posted November 21, 2017 Author Posted November 21, 2017 Проверил ещё раз. Сбрасываю роутер к заводским настройкам. Делаю всего одно изменение: Захожу, ставлю пароль на гостевую сеть Убеждаюсь что галочка "разрешить доступ к интернет-центру" в сегменте снята. Подключаю второй ноутбук к гостевой сети, Samba там открывается. 1 Quote
0 MDP Posted November 22, 2017 Posted November 22, 2017 (edited) Чего-то ACL как-то непонятно у Вас настроен. должно быть наверное на домашнем ACL deny ip 192.168.1.0 255.255.255.240 192.168.2.0 255.255.255.240 deny ip 192.168.1.0 255.255.255.240 192.168.3.0 255.255.255.240 а на гостевом ACL deny ip 192.168.2.0 255.255.255.240 192.168.1.0 255.255.255.240 deny ip 192.168.2.0 255.255.255.240 192.168.3.0 255.255.255.240 для l2tp deny ip 192.168.3.0 255.255.255.240 192.168.1.0 255.255.255.240 deny ip 192.168.3.0 255.255.255.240 192.168.2.0 255.255.255.240 ...и всё Edited November 22, 2017 by MDP Quote
0 ShadoW Posted November 22, 2017 Posted November 22, 2017 (edited) Подтверждаю! У меня так же из гостевой есть возможность подключаться к Samba. галочка "разрешить доступ к интернет-центру" в сегменте Guest снята. Причем подключается через 192.168.1.1 Edited November 22, 2017 by ShadoW 1 Quote
0 Oleksii Posted November 22, 2017 Author Posted November 22, 2017 Продолжаю разбираться. Часть теоретическая Spoiler 1. Почитав внимательно "Описание работы с межсетевым экраном", обращаю внимание на то, что правила для интерфейса при редактировании через UI будут добавляться как входящие (in), а также должны быть указаны со стороны инициатора запроса. 2. У меня установлен компонент uPnP, который может самостоятельно что-то куда-то пробросить. Удобно. 3. В гостевой сети и домашней сети включен NAT для выхода в интернет. 4. п.2 и п.3 в некотором роде создают свои правила, но могут быть уточнены через настройки МСЭ. Важно! 5. Уровень доступа (security-level) домашней сети определен как private 6. Уровень доступа (security-level) гостевой сети определен как protected 7. Согласно картинке и сопутствующему ей тексту, доступа междк Guest, Home и сервисами роутера быть как бы не должно (если бы не uPnP/NAT, я так понимаю). Spoiler 8. В конфиге установлена настройка isolate-private Вроде с теорией всё. Сбросили роутер к заводским настройкам. Погнали играться с работой гостевой сети. Табличка с результатами под спойлером. Spoiler Описание тестов ниже. Spoiler Вариант 1. Отключаем компонент uPnP, отключаем NAT для гостей. Доступа нет никуда, кроме Smb. Тут бы можно было наверное и закончить. Но идём дальше. Вариант 2. Такая сеть наверное мало кому нужна. Добавляем ей интернет, включая NAT. Почти всё как нужно, кроме Smb. Вариант 3. Я ленив, потому включаю снова uPnP. Ничего в разрезе сети не поменялось, но удобства в прочих настройках прибавилось. Вариант лучше прошлого, но не идеал. Вариант 4. Выше в п.4 смотрим, что казалось бы можно закрыть этот злосчастный сервис через МСЭ. Проверяем нашу теорию. Отправляем ping 192.168.1.1 -t. Ничего не идет, в данном случае это ок Пробуем работает ли firewall. Открываем МСЭ для гостевой сети. Добавляем allow - ICMP - 192.168.2.0/28 - 192.168.1.0/28. Пинг немедленно проходит, даже интерфейс не надо передёргивать. Вот он путь к успеху! Наверное. Там же добавляем deny - IP - 192.168.2.0/28 - 192.168.1.0/28 в конец списка. В теории должен остаться только пинг в Home сеть после выкл/вкл гостевой сети, чтобы наверняка. В результате этот неубиенный Smb всё равно работает. Проверяем ещё раз что правило firewall обрабатывается. Передвигаем правило с IP в начало списка и меняем deny - IP - 192.168.2.0/28 - any. Вот сейчас гостевая сеть должна совсем помереть. Это в теории, ха-ха. Один сервис всё-таки непотопляем таким подходом. Я не буду называть его имени. Дальнейшие упражнения показывают, что правила-таки обрабатываются для прочих сервисов роутера. Видимо Smb не подчинается МСЭ. Полагаю эту идею можно оставить в покое. Вариант 5. Переводим Guest и GuestWiFi сеть из уровня protected в public; system config-save; system reboot. Доступ к сетевому диску как работал, так и работает. Ребята, я не понимаю как это работает, центр поддержки молчит (или я не нашёл). Как обуздать эту гидру, посоветуйте? Может кто рабочим конфигом поделится (без паролей конечно, для ознакомления)? 1 Quote
0 ndm Posted November 23, 2017 Posted November 23, 2017 @Oleksii @ShadoW не знаю, кто из вас, но пришло официальное обращение через техподдержку. Поставили в работу, будем разбираться. 1 Quote
0 ndm Posted December 7, 2017 Posted December 7, 2017 Исправлено в версии 2.11.A.9.0-2. Дело было в ускорителе SMB, который гонит пакеты мимо сетевого стека и нетфильтра. 2 Quote
Question
Oleksii
Приветствую,
Настраиваю Keenetic Ultra 2.11.A.8.0-5. Хочу изолировать гостевую сеть от домашней. Есть 3 сети:
Настройки сетевого экрана:
Home только deny (Откуда -> куда -> протокол)
deny tcp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny tcp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny udp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny icmp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny ip 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240 deny tcp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 deny udp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 deny icmp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240 deny ip 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240Guest только deny (Откуда -> куда -> протокол)
deny tcp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 deny udp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 deny icmp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240 deny ip 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240Подключаюсь к гостевой сети по Wi-Fi, веб-морда роутера не открывается (ok), но вот samba работает прекрасно (плохо):
PS C:\Users> Get-NetIPConfiguration -InterfaceIndex 13 InterfaceAlias : Беспроводная сеть InterfaceIndex : 13 InterfaceDescription : Intel(R) Dual Band Wireless-AC 3165 NetProfile.Name : Guest 2 IPv4Address : 192.168.2.13 IPv6DefaultGateway : IPv4DefaultGateway : 192.168.2.1 DNSServer : 192.168.2.1 PS C:\Users> ping 192.168.1.1 Обмен пакетами с 192.168.1.1 по с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 192.168.1.1: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь) PS C:\Users> netstat Активные подключения Имя Локальный адрес Внешний адрес Состояние TCP 127.0.0.1:49680 aaaaaaaa:65001 ESTABLISHED TCP 127.0.0.1:55257 aaaaaaaa:wsd TIME_WAIT TCP 127.0.0.1:55263 aaaaaaaa:wsd TIME_WAIT TCP 127.0.0.1:55264 aaaaaaaa:wsd TIME_WAIT TCP 127.0.0.1:65001 aaaaaaaa:49680 ESTABLISHED TCP 192.168.2.13:55260 db5wns1d:https TIME_WAIT TCP 192.168.2.13:55261 db5sch101100128:https ESTABLISHED TCP 192.168.2.13:55262 db5wns1d:https TIME_WAIT TCP 192.168.2.13:55267 db5sch101101209:https ESTABLISHED TCP 192.168.2.13:55269 lh-in-f188:https ESTABLISHED TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED TCP [::1]:55258 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55265 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55266 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55268 aaaaaaaa:wsd TIME_WAIT TCP [::1]:55271 aaaaaaaa:wsd TIME_WAITОткуда там взялся " TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED"?! Как оставить samba только для домашней сети?
6 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.