Непонятка с правилой forward tcp port 22 (SSH)

Обсуждение ПО и его настройки
Ответить
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Здарова!
Ребята, такая ситуация:
Есть некий centOS за микротом. И я не хочу чтобы на него ходили, кроме меня. никто и ничего.
Создаю правила на Микротике:
Запрещаю всякое прохождение на устройство подключенное к порту eth4

Код: Выделить всё

[admin@r] > ip firewall filter add chain=forward in-interface=ether4 action=drop                             
[admin@r] > ip firewall filter add chain=forward out-interface=ether4 action=drop

Потом разрешаю себе подключиться к нему по ssh и перемещаю правило вверх

Код: Выделить всё

[admin@r] > ip firewall filter add chain=forward src-address=10.10.10.10 protocol=tcp dst-port=22 out-interface=ether4 action=accept

Думал, что на этом должно быть всё, но нет, не работает, приходится добавить

Код: Выделить всё

[admin@r] > ip firewall filter add chain=forward dst-address=10.10.10.10 protocol=tcp src-port=22 in-interface=ether4 action=accept

Вот тогда работает. Так и должно быть? или я, что то делаю не правильно? И сам подход к решению правильный?

И кстати, почему ограничиваю доступ на микроте, а не в CentOS через iptables.
Сделал бы так с радостью, если быcentos видел ip адреса моей сети 10.10.10.0/24 а не один ip, который в линке с микротом 10.10.20.253/30
Можно ли изменить данную ситуацию и все таки ограничивать в centos-е?
Последний раз редактировалось hitman 21 ноя 2017, 10:29, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Приветствую!

1) Вы хотите ограничить сервис, в данном случаи сервис работает на 22 порту, порт есть у адреса IP,
так при чём тут физический порт 4 ? Зачем Вы смешали в правилах файрвола не логические вещи!!!
Хотите ограничивать по порту и по айпи = в правилах должны быть только адреса и порты. НО Не номера портов!!!

2) На счёт сети я не понял, можно поподробнее что у Вас за сеть, где стоит шлюз, что делает микротик и что
делает ЦентОС. И кто за кем подключён.Логику опишите, схему.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Vlad-2 писал(а):1) Вы хотите ограничить сервис, в данном случаи сервис работает на 22 порту, порт есть у адреса IP,
так при чём тут физический порт 4 ? Зачем Вы смешали в правилах файрвола не логические вещи!!!
Хотите ограничивать по порту и по айпи = в правилах должны быть только адреса и порты. НО Не номера портов!!!

Хочу ограничить всё, что проходит через 4 порт, там у меня не только один адрес, потому и указал.. не понимаю честно говоря, в чем тут разница, что указал порт а не конкретный адрес. Так же проверял и указав адрес, результат тот же, никакой разницы.
2) На счёт сети я не понял, можно поподробнее что у Вас за сеть, где стоит шлюз, что делает микротик и что
делает ЦентОС. И кто за кем подключён.Логику опишите, схему.

Микрот и есть шлюз в данной схеме.
Сеть с пользователями (10.10.10.0/24) - Микротик (Шлюз) - CentOS (10.10.20.252/30)
Выход в интернет тоже через микрот.
И на нем еще несколько интерфейсов.
Думаю суть понятен.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

hitman писал(а):Хочу ограничить всё, что проходит через 4 порт, там у меня не только один адрес, потому и указал.. не понимаю честно говоря, в чем тут разница, что указал порт а не конкретный адрес. Так же проверял и указав адрес, результат тот же, никакой разницы.

Если порт не имеет адрес, это просто физический порт, который работает в рамках протокола Ethernet и там бегают фреймы, нету там IP, и так далее.
Почитайте основы сети и что такое уровень L2 и L3.
Чтобы донести ещё раз до Вас, Вы пытаетесь сложить дробь с разными знаменателями, что делать нельзя, так и тут, порт это порт, а IP и служба это служба,
это разные моменты, разная сущность, и оперировать надо в рамках того, чего есть с обеих сторон.
И не совсем понимаю Вашу задачу ограничить всё что в порту4, а что именно Вы там хотите ограничивать?
hitman писал(а):Микрот и есть шлюз в данной схеме.
Сеть с пользователями (10.10.10.0/24) - Микротик (Шлюз) - CentOS (10.10.20.252/30)
Выход в интернет тоже через микрот.
И на нем еще несколько интерфейсов.
Думаю суть понятен.

НЕ совсем, почему сеть одна, а центос получает адресацию из другого диапазона,
да ещё и сеть "маленькая", всего /30.
Что делает тут центос и кто ей выдаёт адрес?

В любом случаи формулировка задач, желаний требует уточнений в рамках понимания сети.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить