AirOS, bloccare accesso rete dietro WAN

Primi passi con i prodotti UBNT (Ubiquti Networks)

AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 8 luglio 2014, 12:35

Buon giorno.

dovrei impostare un AirRouter con AirOS 5.5.4 in modalità router o SOHO Router.

Sulla LAN0 (WAN) è connessa un'altra rete dove dovrei prendere soltanto internet.

Alla LAN0 ho assegnato IP statico, con classe pari a quella della rete da cui mi connetto (192.168.1.X)

Ho disattivato la WLAN0 in quanto non mi serve wireless e la LAN1 ho impostato una classe 10.15.2.X, attivando DHCP.

Sulle porte LAN1 saranno connesse delle macchine che dovranno avere la possibilità soltanto di navigare, quindi vorrei aprire soltanto le porte 80 e 443, ma vorrei fare in modo che queste macchine non vedano tutto ciò che è connesso alla WAN, quindi pingando 192.168.1.X non vedano nulla.

come posso fare? Grazie in anticipo.
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi thema3x » 8 luglio 2014, 12:40

Firewall ? Non ci sono firmware + recenti ?!

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 8 luglio 2014, 13:43

Firmware non ne ho verificati, anche perché non pensavo che potesse essere influente. Comunque verificherò anche questo.

Al firewall c'ho pensato, ma non so come impostarlo. Qualche dettaglio?


Inviato da iPhone tramite Tapatalk
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 8 luglio 2014, 14:22

Edit: ho aggiornato firmware, 5.5.8!


Inviato da iPhone tramite Tapatalk
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 8 luglio 2014, 21:24

A grandi linee , con tre regole risolvi,
1 input int. lan, dest. ip 10.0.0.0/8 drop
2 input int. lan, dest. ip 172.16.0.0/12 drop
3 input int. lan, dest. ip 192.168.0.0/16 drop
4 input int. lan, accept

droppi completamente il private address space, e dalla lan saranno raggiungibili solo ip pubblici.
Se vuoi permettere solo 80 e 443, la regola 4 diventa 6, modificata, e alle prime tre aggiungi
4 input int. lan, proto tcp , dport 80 accept
5 input int. lan, proto tcp , dport 443 accept
6 input int. lan, drop

Mooolto a grandi linee...
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 9 luglio 2014, 8:43

Ti ringrazio per i suggerimenti :ave:

Purtroppo pe rme non sono molto pratico di AirOS e ho qualche dubbio, spero che puoi darmi delle delucidazioni.

A cosa servirebbe la regole verso l'gli IP 172.16.0.0/12 e 192.168.0.0 e 10.0.0.0? non ho niente su quelle classi :surprice:

In ogni caso, la mia config è questa qui:

Immagine

Io ho provato a impostare il firewall nel seguente modo:

Immagine

Ma credo che non vada bene....

Grazie ancora
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi thema3x » 9 luglio 2014, 14:35

Ciao,

eh direi di no ...

Segui le indicazioni di RED !

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 9 luglio 2014, 16:57

thema3x ha scritto:Segui le indicazioni di RED !


Se solo sapessi come... Mi manca il fondamentale...


Inviato da iPhone tramite Tapatalk
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 9 luglio 2014, 23:22

grantecnico ha scritto:Purtroppo pe rme non sono molto pratico di AirOS ..
Sinceramente, neanche io, li uso come cavi di rete :) ...comunque, le prime tre regole servono a droppare qualsiasi pacchetto che abbia come destinazione una rete privata, e la reta privata(192.168.1.x) che è tra la nuova rete (10.15.2.X) e internet, rientra sicuramente tra quelle....se specifichi una regola firewall con la /32 , significa che tutti gli otteti devono corrispondere, in pratica il match c'è solo per quell'indirizzo, ed avendo utilizzato , come maschera di rete una /8 (255.0.0.0), in effetti quello è un indirizzo valido, non è l'indirizzo della rete.....ma un match non ci sarà mai. A meno che tu non abbia la necessità di milioni di indirizzi ip sulla nuova rete, cambia la subnet mask da /8 a /24 ( in pratica, in lan network settings, Netmask, al posto di 255.0.0.0 metti 255.255.255.0).
Poi , se vuoi specificare anche i source ip address, le regole le scrivi cosi'
1 input int. lan(*), s.ip.sddr 10.15.2.0/24, dest. ip 10.0.0.0/8 drop
2 input int. lan(*), s.ip.sddr 10.15.2.0/24, dest. ip 172.16.0.0/12 drop
3 input int. lan(*), s.ip.sddr 10.15.2.0/24, dest. ip 192.168.0.0/16 drop
4 input int. lan(*), s.ip.sddr 10.15.2.0/24, proto tcp , dport 80 accept
5 input int. lan(*), s.ip.sddr 10.15.2.0/24,proto tcp , dport 443 accept
6 input int. lan(*), drop

(*)Come lan devi specificare l'interfaccia che è in effetti la lan per la rete 10.15.2.0/24, se la tua LAN0 è in realtà la wan , non và bene....se come lan reale usi la LAN1 o il bridgeX, dichiara tale interfaccia come input interface...
Per testare, da un host della rete 10.15.2.0/24 pinghi qualcosa che è sulla rete 192.168.1.0 , poi pinghi , es. 8.8.8.8 , non dovresti avere risposta da nessuno, mentre dovresti essere in grado di aprire pagine http e https....
Ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 10 luglio 2014, 18:55

La psiegazione è stata esaustiva e credo di aver capito, ma non riesco a mettere in pratica.. Probabilmente sono io molto "nocione" e non sono molto esperto di AirOS... Mea culpa, chiedo venia...

Ho modificato la maschera di sottorete come mi hai suggerito portandola a 24
Immagine

Così ho provato ad assegnare le regole al firewall, tenendo in considerazione che la WAN sarà LAN0 ( 192.168.1.199) e che la mia LAN (le 4 porte dello switch del router) saranno 10.15.2.X, con DHCP attivato e le macchine collegate ad esso dovranno avere aprte soltanto le porte per la navigazione http e https. Inoltre, non dovrò riuscire a pingare la rete 192..168.1.X

Ho provato, ma credo di aver sbagliato qualcosa ( inoltre, non capisco nemmeno a cosa servono quei flag ! da abilitare/disabilitare a fianco di Ip/mask )
Immagine

Così facendo, mi son ritrovato con la LAN inibita, non riuscivo nemmeno a rientrare nel router da 10.15.2.1 per disattivare il firewall, quindi sono dovuto entrare dalla WAN con indirizzo 192.168.1.199 e ripristinare la config.

Non mi è chiaro come mai mi indichi le regole del firewall scritte in riga testuale:

1 input int. lan(*), s.ip.sddr 10.15.2.0/24, dest. ip 10.0.0.0/8 drop
2 input int. lan(*), s.ip.sddr 10.15.2.0/24, dest. ip 172.16.0.0/12 drop
3 input int. lan(*), s.ip.sddr 10.15.2.0/24, dest. ip 192.168.0.0/16 drop
4 input int. lan(*), s.ip.sddr 10.15.2.0/24, proto tcp , dport 80 accept
5 input int. lan(*), s.ip.sddr 10.15.2.0/24,proto tcp , dport 443 accept
6 input int. lan(*), drop


Per caso c'è un modo per fare tutto, copiando semplicemente le righe , magari da ssh?

Grazie e scusa la raffica di domande, ma come avrai notato sono proprio inesperto... :ave:
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Prossimo

Torna a Iniziare con UBNT - Ubiquiti Networks

Chi c’è in linea

Visitano il forum: Nessuno

cron