AirOS, bloccare accesso rete dietro WAN

Primi passi con i prodotti UBNT (Ubiquti Networks)

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 10 luglio 2014, 19:21

In effetti...non li ho mai usati come firewall, e non ho mai neanche guardato come si comportano con questa configurazione, e ti ho fatto fare almeno una cosa sbagliata... i dns ...avendo spuntato dns proxy, ai clients come dns viene settato 10.15.2.1, prova ad aggiungere 2 regole all'inizio,

1 input int. lan(*), s.ip.addr 10.15.2.0/24, proto udp, dport 53 accept
2 input int. lan(*), s.ip.addr 10.15.2.0/24, proto tcp, dport 53 accept


..Ma non sò se le regole venngono applicate sulla chain di input o di forward....prima di fare eventualmente le modifiche, con la config. che blocca la rete, potresti entrare in ssh dalla wan e postare l'output di

iptables -nLv
Sorry...
P.S. il ! è un not , ed è una negazione, tipo

port 80 la regola viene applicata alla porta 80 (e se c'è un match con il resto)
port !80 la regola viene applicata se la porta non è la 80 (e se c'è un match con il resto)
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 11 luglio 2014, 8:21

Come immaginavi infatti non ha funzionato... tutto bloccato nuovamente.

Sono entrato in ssh dalla WAN (192.168.1.199) e lanciando il comando di iptables mi restituisce:
Codice: Seleziona tutto
iptables: No chain/target/match by that name


:oo:
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 11 luglio 2014, 8:59

Nel tab Main, c'è il link Firewall ?
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 11 luglio 2014, 9:32

redfive ha scritto:Nel tab Main, c'è il link Firewall ?


Si, da li riesco a vedere la lista delle regole:

Codice: Seleziona tutto
Chain FIREWALL (2 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:53
    0     0 ACCEPT     udp  --  br0    *       10.15.2.0/24         0.0.0.0/0           udp dpt:53
    0     0 DROP       all  --  br0    *       10.15.2.0/24         10.0.0.0/8         
    0     0 DROP       all  --  br0    *       10.15.2.0/24         172.16.0.0/12       
    0     0 DROP       all  --  br0    *       10.15.2.0/24         192.168.0.0/16     
    0     0 ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:443
   19  3232 DROP       all  --  br0    *       0.0.0.0/0            0.0.0.0/0           

Se non riesci a leggerlo bene, ecco un printscreen:

Immagine
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 11 luglio 2014, 13:24

Come detto, non li ho mai usati da firewall, e ora non ne ho sottomano, prova con queste regole:
0 0 ACCEPT all -- br0 * 10.15.2.0/24 10.15.2.1
0 0 DROP all -- br0 * 10.15.2.0/24 10.0.0.0/8
0 0 DROP all -- br0 * 10.15.2.0/24 172.16.0.0/12
0 0 DROP all -- br0 * 10.15.2.0/24 192.168.0.0/16
0 0 ACCEPT tcp -- br0 * 10.15.2.0/24 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- br0 * 10.15.2.0/24 0.0.0.0/0 tcp dpt:443
0 0 DROP all -- br0 * 0.0.0.0/0 0.0.0.0/0

Vedo se riesco a recuperare un AirOs per stasera , magari riesco ad essere piu' preciso.. :eheh:
Ciao
P.S. ma gli ip vengono rilasciati , con le regole che bloccano la rete ?... comunque , le prove fallle sempre dalla wan, almeno recuperi...
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 11 luglio 2014, 18:53

Cavolo, non pensavo di creare tutto 'sto scompiglio. Sinceramente pensavo che questo tipo di applicazione sui router fosse una cosa più in uso. Mi dispiace di crearti lo scomodo di metterti a fare test, però non posso che ringraziarti per l'aiuto che mi stai dando. :timido:

Comunque, abbiamo fatto un passo avanti.

Intanto ecco la lista delle regole:
Codice: Seleziona tutto
Chain FIREWALL (2 references)
pkts bytes target     prot opt in     out     source               destination         
5721  773K ACCEPT     all  --  br0    *       10.15.2.0/24         10.15.2.0/24       
    0     0 DROP       all  --  br0    *       10.15.2.0/24         10.0.0.0/8         
    0     0 DROP       all  --  br0    *       10.15.2.0/24         172.16.0.0/12       
  199 13944 DROP       all  --  br0    *       10.15.2.0/24         192.168.0.0/16     
    4   168 ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:443
1205 81984 DROP       all  --  br0    *       0.0.0.0/0            0.0.0.0/0           


In questo modo, il DHCP non passa. Settando però la macchina manualmente con IP 10.15.2.100 255.255.255.0 riesco a pingare 10.15.2.1, cosa che prima non riuscivo.

La navigazione invece non passa e non passa nemmeno il ping verso 192.168.1.X

Son tutto orecchi per altri test :okok:
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 11 luglio 2014, 22:30

Purtroppo non ho recuperato il dispositivo, a dire la verità oggi ero su un impianto, ma c'erano un pò troppi clients connessi su vari UniFi (attraverso un bridge con AirOs) per mettermi a giocare in mod.tà router con le Ns...Per tagliare la testa al toro...potresti provare cosi' ?
ACCEPT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
ACCEPT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
DROP all -- br0 * 0.0.0.0/0 10.0.0.0/8
DROP all -- br0 * 0.0.0.0/0 172.16.0.0/12
DROP all -- br0 * 0.0.0.0/0 192.168.0.0/16
ACCEPT tcp -- br0 * 10.15.2.0/24 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- br0 * 10.15.2.0/24 0.0.0.0/0 tcp dpt:443
ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0

Abilita il dhcp client nelle macchine , e vedi se è tutto ok, se si, prova a cambiare l'ultima regola da accept a drop , e ricontrolla...ev. posta l'output di firewall , che vediamo se ha droppato dei pacchetti....Non preoccuparti , nessun 'scompiglio', prometto solennemente che appena ho in mano un AirOs gioco un pò con il fw e riporto qualcosa :eheh:
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 12 luglio 2014, 8:50

GRANDE!!!!! :ave:

Sta volta ci siamo :eheh: :roftl:

Con il firewall settato in questa maniera, funziona come vorrei.

Ho provato sia lasciando Accettato che droopato l'ultima regola, funziona in entrambi i casi.

Ecco il risultato del iptables:
Codice: Seleziona tutto
Chain FIREWALL (2 references)
pkts bytes target     prot opt in     out     source               destination         
    4  1323 ACCEPT     udp  --  br0    *       0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67
  193 12491 ACCEPT     udp  --  br0    *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
  282 24462 DROP       all  --  br0    *       0.0.0.0/0            10.0.0.0/8         
    0     0 DROP       all  --  br0    *       0.0.0.0/0            172.16.0.0/12       
   39  2280 DROP       all  --  br0    *       0.0.0.0/0            192.168.0.0/16     
4739  353K ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:80
11547  744K ACCEPT     tcp  --  br0    *       10.15.2.0/24         0.0.0.0/0           tcp dpt:443
   54  3124 DROP       all  --  br0    *       0.0.0.0/0            0.0.0.0/0           


In questo modo, il DHCP passa, non pingo 192.168.1.x, il fatto strano è che non pingo nemmeno 10.15.2.1 ( l'ip del bridge).
Riesco a navigare tranquillamente, ma fatto molto strano, se da cmd pingo 8.8.8.8 oppure www.google.com (o qualunque latro indirizzo), il ping non riesce... Però navigo tranquillamente ed effettuo download.

Meglio così, almeno son sicuro che le macchine collegate su 10.15.2.x non accedano alla config del router in nessun modo, anche se in realtà al momento questo firewall servirà solo a me, ma non è detto che in un futuro non gli trovi altre applicazioni :eheh:

Un ultima domanda, ma forse la soluzione la conosco. In questo modo Teamviewer non passa, se volessi aprire le porte per teamviewer (o qualunque altra porta che eventualmente mi serva), basta che aggiungo delle regole prima dell'ultimo droop nel modo:

ACCEPT tcp(o udp all'occorrenza) -- br0 * 10.15.2.0/24 0.0.0.0/0 tcp ( o udp) dpt: portaX
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi redfive » 12 luglio 2014, 13:02

L prima regola permette i dhcp-packets dal client verso qualsiasi server, la seconda fà lo stesso per le query dns, le altre 3 droppano tutto ciò che è diretto a qualsiasi rete privata (incluso l'ip del router stesso) le altre 2 permettono di raggiungere tutti gli ip pubblici ma solo sulle tcp 80 o 443... i ping non sono consentiti da nessuna parte, eventualmente fai una regola dove permetti icmp. Per teamviewer, prova , prima dell'ultima regola, quella che droppa tutto, ad aggungere

ACCEPT tcp -- br0 * 10.15.2.0/24 0.0.0.0/0 tcp dpt:5938.

Ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: AirOS, bloccare accesso rete dietro WAN

Messaggiodi grantecnico » 13 luglio 2014, 12:35

Forse sarò ripetitivo, ma non so davvero come ringraziarti in primis per l'aiuto e seconda cosa per le spiegazioni che mi hai dato, mi è più utile questa che il funzionamento in se per se, perché io voglio capire cosa faccio e soprattutto perché lo faccio...
La "pappa pronta" non mi piace, anche se in realtà hai fatto tutto tu, io mi sono limitato ad eseguire i comandi.
Comunque, credo di aver capito il funzionamento.
Ora, voglio complicarmi la vita... Visto che funziona, mi annoierei a lasciare il mondo così com'è!

Voglio divertirmi a fare alcune prove con il firewall e vedere se riesco a far passare alcuni pacchetti di una macchina con ip 192.168.1.x verso il router principale.

Però voglio provare da solo così vediamo se ho capito il meccanismo e ovviamente sempre se è una cosa fattibile.

Lo so... Le cose semplici non mi piacciono e mi piace sperimentare :-D



Inviato da iPhone tramite Tapatalk
grantecnico
User
 
Messaggi: 12
Iscritto il: 29 aprile 2014, 12:55

PrecedenteProssimo

Torna a Iniziare con UBNT - Ubiquiti Networks

Chi c’è in linea

Visitano il forum: Nessuno