Как работает фильтр ! dstnat или дыра в безопасности ipsec?

Обсуждение ПО и его настройки
Ответить
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

UPD проблема решена см. 2-й пост... ну или если интересно попробуйте понять что не так. вся нужная для этого информация есть в первом посте.
Есть у меня правило
;;; Drop from WAN without dstnat
chain=forward action=drop connection-state=new connection-nat-state=!dstnat connection-type=""
in-interface=WAN-ether1 log=no log-prefix=""

Находится в почти в самом верху (выше только инвалиды, эстаблишед и релейтед)
Я всегда думал, что оно меня защищает от всех подключений с WAN порта для которых явно не указан dstnat.

И тут ВНЕЗАПНО до меня доходит.

forward: in:WAN-ether1 out:LAN-bridge, src-mac 00:d0:03:d5:f8:0a, proto UDP, 192.168.67.3:64134->192.168.66.2:3389, len 40
Это залогированный пакет правилом сильно ниже.
Какого Х Карл?
Почему трафик без dstnat не дропнулся?
Есть нюанс: этот трафик через ipsec ikev2, но он чистый, без всяких gre, т.е. интерфейс тот-же.

Это что получается ко мне кто хочет с wan порта может ходить в локалку?
И как это запретить не запрещая ходить через ipsec?
Последний раз редактировалось Lurker 02 авг 2021, 18:36, всего редактировалось 1 раз.


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

ответ-всё отрабатывает корректно.
Задачка была на внимательность. Хз откуда взялось connection-type="" но именно это всё ломало. подозреваю мисклик мышкой.
ну и да, чтобы на ipsec данное правило не действовало надо поставить ipsec policy in none


Ответить