Ciao a tutti, ho un problema nel configurare il firewall della nanostation M5.
Allora, da un punto di vista architetturale mi trovo nelle seguenti condizioni:
rete-1: 192.168.168.x
rete-2: 10.0.0.x
le due reti non sono visibili tra di loro, sono remote, ma mi e' stata espressa la necessita' di collegarle. E quindi le ho collegate via ponte-radio con due nanostation M5.
alla rete-1 ho collegato la prima nanostation M5, IP statico 192.168.168.140, Wireless mode AP, network mode Bridge.
alla rete-2 ho collegato la seconda nanostation M5, WLAN0 con IP statico 192,168.168.130, wireless mode Station, network mode "router". Essendo configurata come router, la LAN0 di questo M5 e' connessa alla rete-2, con IP statico 10.0.0.90.
Le due M5 si vedono e il ponte radio si stabilisce correttamente.
Ora, io da un qualunque PC della rete-1, posso gestire entrambe le nanostation, e la cosa deve rimanere cosi perche' la rete-1 e' quella sotto il mio controllo dove io posso accedere. La rete-2 non e' sotto il mio controllo.
Nella rete-1 ci sono due servizi sul server 192.168.168.115 in ascolto sulle porte 8087 e 8089 che devono essere accedibili dalla rete-2. Ho configurato tutte le routes necessarie e la cosa funziona.
Ora visto che solo questi due servizi della rete=1 devono essere accedibili dalla rete-2, ho voluto implementare il firewall sulla M5 della rete-1.
E quindi ho implementato le seguenti regole:
-----------------------------------
Bridge table: filter
Bridge chain: FIREWALL, entries: 5, policy: ACCEPT
-p IPv4 -i ath0 --ip-dst 192.168.168.115 --ip-proto tcp --ip-dport 8087 -j ACCEPT
-p IPv4 -i ath0 --ip-dst 192.168.168.115 --ip-proto tcp --ip-dport 8089 -j ACCEPT
-p IPv4 --ip-dst 192.168.168.130 -j ACCEPT
-p IPv4 --ip-dst 192.168.168.140 -j ACCEPT
-p IPv4 -i ath0 -j DROP
-----------------------------------
Le prime due permettono l'accesso ai servizi.
la terza e la quarta in teoria dovrebbero permettere l'accesso alle nanostation per mia necessita' di gestione.
L'ultima ovviamente blocca tutto il resto che non e' permesso.
Bene, in queste condizioni, funziona tutto ad esclusione dell'accesso dalla rete-1 (quella che io controllo) alla nanostation 192.168.168.130, cioe' quella remota. E non capisco assolutamente il perche'.
Fra prove e contro-prove, l'accesso all'M5 remoto mi ha funzionato solo se aggiungo la regola
-p IPv4 --ip-src 192.168.168.130 -j ACCEPT
che pero', almeno cosi, non ha nessun senso, perche' con tale regola in realta' apro completamente la rete-1 dalla rete-2: ripeto che dalla parte della rete-2 ho l'M5 in router mode (e con NAT ovviamente, quindi i collegamenti da qualunque PC della rete-2 si presenteranno nella rete-1 come 192.168.168.130).
Vorrei avere un vostro parere, perche' almeno stando a quanto sono riuscito a ricavarne finora, per me questo potrebbe essere un altro bug del firmware 5.5.6.
Vi ringrazio in anticipo tutti.
Saluti
PS: io il firewall lo configuro dalla WebGUI di AirOS, quello che ho riportato qui sono le regole che si ottengono selezionando il link "firewall" nella pagina "main" dell'interfaccia web.