Вопрос по файрволу

Обсуждение ПО и его настройки
Ответить
gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Друзья, всем привет.
Возник глупый вопрос, как-то даже раньше не задумываясь делал примерно так. Это два правила, которые идут в самом конце после нужных разрешающих:

Код: Выделить всё

add action=drop chain=forward in-interface=!cam10 out-interface=cam10
add action=drop chain=forward in-interface=cam10 out-interface=!cam10
Т.е. запрет трафика в интерфейс и из него (запрет всего, что явно не разрешено). Но не аналогично ли это такому?

Код: Выделить всё

add action=drop chain=forward out-interface=cam10
add action=drop chain=forward in-interface=cam10
Когда вообще в качестве in-interface и out-interface в правиле может быть один интерфейс? оО Я как-то не сталкивался... :du_ma_et:


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Да всё достаточно просто.
В первом случае мы делаем:

Код: Выделить всё

add action=drop chain=forward in-interface=!cam10 out-interface=cam10
Запретить любую пересылку через роутер, когда приходит с любого интерфейса кроме cam10 и уходит через cam10 (то есть запрещает любой выход с cam10, если это не он сам)

Код: Выделить всё

add action=drop chain=forward in-interface=cam10 out-interface=!cam10
Аналогично предыдущему действию, но наоборот (запрещает любой вход на cam10, если выходным не является сам cam10)
Не ясно зачем вообще нужны такие правила. Порт изначально сам в себя не станет засылать сигнал в контексте форварда.

Во втором случае мы делаем немного другие правила:

Код: Выделить всё

add action=drop chain=forward out-interface=cam10
Запретить любую пересылку где выходом является cam10

Код: Выделить всё

add action=drop chain=forward in-interface=cam10
Запретить любую пересылку, где входом является cam10

При первом рассмотрении правила немного нелепые. Возможно, если Вы дадите более подробную конфигурацию или пояснение, то всё встанет на свои места.

Возвращаясь к изначальному вопросу. Да. Одно и тоже. Но! В первом случае вы как бы разрешаете пересылку с cam10 на cam10, а во втором случае полностью запрещаете любой форвард через cam10.


gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Здравствуйте!
Это так сказать "окончательный запрет всего, чего явно не прописано".
По идее файрвол должен работать так: все, что не разрешено - запрещено.
Но у меня ситуация другая, рабочий роутер, настроенный до меня так, что приходится прибегать к таким "схемам".
Для input нет общего drop'a, там есть частные, все остальное - открыто.
Вот и страхуюсь.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

В таком случае второй вариант является более надёжным


gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Спасибо вам за развернутый ответ =)


Ответить