Configurare firewall Nanostation M5

Prodotti basatati su AirMax, AirOS V e sulla piattaforma M (MIMO)

Configurare firewall Nanostation M5

Messaggiodi pandorino » 13 ottobre 2013, 17:27

Ciao a tutti, ho un problema nel configurare il firewall della nanostation M5.
Allora, da un punto di vista architetturale mi trovo nelle seguenti condizioni:
rete-1: 192.168.168.x
rete-2: 10.0.0.x
le due reti non sono visibili tra di loro, sono remote, ma mi e' stata espressa la necessita' di collegarle. E quindi le ho collegate via ponte-radio con due nanostation M5.
alla rete-1 ho collegato la prima nanostation M5, IP statico 192.168.168.140, Wireless mode AP, network mode Bridge.
alla rete-2 ho collegato la seconda nanostation M5, WLAN0 con IP statico 192,168.168.130, wireless mode Station, network mode "router". Essendo configurata come router, la LAN0 di questo M5 e' connessa alla rete-2, con IP statico 10.0.0.90.
Le due M5 si vedono e il ponte radio si stabilisce correttamente.
Ora, io da un qualunque PC della rete-1, posso gestire entrambe le nanostation, e la cosa deve rimanere cosi perche' la rete-1 e' quella sotto il mio controllo dove io posso accedere. La rete-2 non e' sotto il mio controllo.
Nella rete-1 ci sono due servizi sul server 192.168.168.115 in ascolto sulle porte 8087 e 8089 che devono essere accedibili dalla rete-2. Ho configurato tutte le routes necessarie e la cosa funziona.
Ora visto che solo questi due servizi della rete=1 devono essere accedibili dalla rete-2, ho voluto implementare il firewall sulla M5 della rete-1.

E quindi ho implementato le seguenti regole:
-----------------------------------
Bridge table: filter

Bridge chain: FIREWALL, entries: 5, policy: ACCEPT
-p IPv4 -i ath0 --ip-dst 192.168.168.115 --ip-proto tcp --ip-dport 8087 -j ACCEPT
-p IPv4 -i ath0 --ip-dst 192.168.168.115 --ip-proto tcp --ip-dport 8089 -j ACCEPT
-p IPv4 --ip-dst 192.168.168.130 -j ACCEPT
-p IPv4 --ip-dst 192.168.168.140 -j ACCEPT
-p IPv4 -i ath0 -j DROP
-----------------------------------
Le prime due permettono l'accesso ai servizi.
la terza e la quarta in teoria dovrebbero permettere l'accesso alle nanostation per mia necessita' di gestione.
L'ultima ovviamente blocca tutto il resto che non e' permesso.

Bene, in queste condizioni, funziona tutto ad esclusione dell'accesso dalla rete-1 (quella che io controllo) alla nanostation 192.168.168.130, cioe' quella remota. E non capisco assolutamente il perche'.

Fra prove e contro-prove, l'accesso all'M5 remoto mi ha funzionato solo se aggiungo la regola
-p IPv4 --ip-src 192.168.168.130 -j ACCEPT

che pero', almeno cosi, non ha nessun senso, perche' con tale regola in realta' apro completamente la rete-1 dalla rete-2: ripeto che dalla parte della rete-2 ho l'M5 in router mode (e con NAT ovviamente, quindi i collegamenti da qualunque PC della rete-2 si presenteranno nella rete-1 come 192.168.168.130).

Vorrei avere un vostro parere, perche' almeno stando a quanto sono riuscito a ricavarne finora, per me questo potrebbe essere un altro bug del firmware 5.5.6.

Vi ringrazio in anticipo tutti.
Saluti

PS: io il firewall lo configuro dalla WebGUI di AirOS, quello che ho riportato qui sono le regole che si ottengono selezionando il link "firewall" nella pagina "main" dell'interfaccia web.
pandorino
User
 
Messaggi: 2
Iscritto il: 6 ottobre 2013, 23:46

Re: Configurare firewall Nanostation M5

Messaggiodi redfive » 14 ottobre 2013, 13:21

Occhiata al volo (pausa pranzo !) ...
Codice: Seleziona tutto
-p IPv4 --ip-dst 192.168.168.130 -j ACCEPT
-p IPv4 --ip-dst 192.168.168.140 -j ACCEPT
La 1a accetta tutto ciò che ha come destinazione 192.168.168.130 , la 2a tutto ciò che ha come destinazione 192.168.168.140, direi che se usi i tools delle NS ( tipo ping , speedtest ) tra una e l'altra dovresti avere il link al layer 3 operativo , il fatto è che quando tenti il management da un pc della rete 192.168.168.x , l'ip di tale pc potrebbe essere , es. , 192.168.168.150 , i pacchetti verso NS2 vanno , i pacchetti di ritorno vengono droppati ( avendo come dest. 192.168.168.150 , che non è ne 192.168.168.130 ne 192.168.168.140 , quelli che sarebbero permessi) . Volendo , da cli puoi usare il firewall in mod.tà SPI , ed usare i parametri NEW,RELATED,ESTABLISHED , e tanti altri , altrimenti , un modo velocissimo è spostare le regole fw sulla NS2 , definisci "chi" può entrare e "dove" può andare, per tutto ciò che entra dalla eth0 ...
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Configurare firewall Nanostation M5

Messaggiodi pandorino » 14 ottobre 2013, 21:33

>> direi che se usi i tools delle NS ( tipo ping , speedtest ) tra una e l'altra dovresti avere il link al layer 3 operativo
si, confermo, il layer-3 e' operativo, infatti mi funziona tutto come mi aspetto, tranne appunto l'accesso alla NS2.

>> i pacchetti verso NS2 vanno , i pacchetti di ritorno vengono droppati ( avendo come dest. 192.168.168.150 , che non è ne 192.168.168.130 ne 192.168.168.140 , quelli che sarebbero permessi)
Fondamentalmente da quello che mi dici, mi sembra di capire che la connessione sul fw non rimane aperta nel verso del ritorno, cosa che invece io mi aspettavo...
E questo giustificherebbe il motivo per cui la regola
-p IPv4 --ip-src 192.168.168.130 -j ACCEPT
permette invece di accedere alla NS2, perche' in pratica permette ai pacchetti di ritorno di traversare il firewall.
E immagino che la direttiva "ESTABLISHED" che hai menzionato sotto permette esattamente questo.
Ok, adesso verifichero' e vediamo che opzione mi conviene seguire...
Grazie del suggerimento.
Ciao

e credo
pandorino
User
 
Messaggi: 2
Iscritto il: 6 ottobre 2013, 23:46

Re: Configurare firewall Nanostation M5

Messaggiodi thema3x » 14 ottobre 2013, 22:27

Red ... sei il mago dei firewall :okok:

Sempre di altissimo profilo !

:ave:

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia


Torna a AirMax Products/AirOS V & M Series

Chi c’è in linea

Visitano il forum: Nessuno

cron