Не могу понять как составить правило:
pppoe-out1 . это вход
Нужно запретить все входящие соединения даже пинг, вообще все, а разрешить только с определенных сетей которые находятся в списке address_list
Помогите пожалуйста с правилом
-
- Сообщения: 84
- Зарегистрирован: 19 авг 2018, 09:35
Запретить доступ к маршрутизатору или в локальную сеть (цепочки input, forward)?
Какой протокол используется (ping - это icmp, что ещё? - tcp, udp) ?
Однозначно невозможно ответить на Ваш вопрос, так как непонятно какой и куда блокировать трафик.
И правил, скорее всего, будет несколько - так как вы хотите запретить ping - это icmp протокол. DNS заблокировать (если речь идёт о блокировке вообще всего) - это UDP.
Веб трафик (http) - это TCP протокол.
В общем, слишком много неизвестных.
Какой протокол используется (ping - это icmp, что ещё? - tcp, udp) ?
Однозначно невозможно ответить на Ваш вопрос, так как непонятно какой и куда блокировать трафик.
И правил, скорее всего, будет несколько - так как вы хотите запретить ping - это icmp протокол. DNS заблокировать (если речь идёт о блокировке вообще всего) - это UDP.
Веб трафик (http) - это TCP протокол.
В общем, слишком много неизвестных.
-
- Сообщения: 29
- Зарегистрирован: 06 июн 2017, 20:46
Запретить доступ из вне к маршрутизаторуvbsev писал(а): ↑23 окт 2018, 23:14 Запретить доступ к маршрутизатору или в локальную сеть (цепочки input, forward)?
Какой протокол используется (ping - это icmp, что ещё? - tcp, udp) ?
Однозначно невозможно ответить на Ваш вопрос, так как непонятно какой и куда блокировать трафик.
И правил, скорее всего, будет несколько - так как вы хотите запретить ping - это icmp протокол. DNS заблокировать (если речь идёт о блокировке вообще всего) - это UDP.
Веб трафик (http) - это TCP протокол.
В общем, слишком много неизвестных.
Ну суть такая, мне нужно чтоб из вне не каким способом нельзя было дотучаться по IP адресу, и чтоб некак нельзя было прощупать,
Закрываем все входящие как TCP так и udp
а потом я просто правилами проброса портов, открываю порт 80 и 443 наружу и только для определенных груп сетей, остальное должно быть закрыто наглухо, ну как то так простым язиком
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Удалите из дефолтного firewall'а правила разрешающие ICMP - и собственно это оно и будет.
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 06 июн 2017, 20:46
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не очень понял о чем вы, но 53 порт снаружи закрыт по-умолчанию.
В дефолтных настройках firewall снаружи открыт доступ только для icmp, того, что прошло dst-nat и того что попадает под установленные политики ipsec.
Все остальное закрыто.
Уберите оттуда правило разрешающее icmp и будет то, что вы хотите.
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 06 июн 2017, 20:46
У меня стоит правило блокирующее типо DNS ддос , это к тому что UDP на 53 порт свободно значит прилетает в роутерxvo писал(а): ↑24 окт 2018, 19:00Не очень понял о чем вы, но 53 порт снаружи закрыт по-умолчанию.
В дефолтных настройках firewall снаружи открыт доступ только для icmp, того, что прошло dst-nat и того что попадает под установленные политики ipsec.
Все остальное закрыто.
Уберите оттуда правило разрешающее icmp и будет то, что вы хотите.
Или я чтото не так понимаю?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Я понятия не имею, что стоит у вас, вы же свой конфиг не прикладываете.
Я говорю, про дефолтные настройки, которые идут из коробки, и к которым сбрасывается конфигурация - используйте их.
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 06 июн 2017, 20:46
я вас понимаю,
Я по поводу ваших слов, что если правил нету то всё закрыто, так вот я убрал все правила, пинг проходит, и опять же говорю вам что UDP на 53 порт тоже проходит походу
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Эээ...
Вы что-то не так поняли: я нигде не говорил, что если правил нет, то все закрыто.
Действие по умолчанию - accept, так что если правил нет, то все наоборот открыто.
Я говорил, что вы можете взять firewall, который настроен из коробки и он вполне подойдет под ваши нужды, если его немного докрутить.
Если вы вдруг конфигурацию стирали в ноль, то посмотреть дефолтные настройки можно так:
Код: Выделить всё
/system default-config print
Telegram: @thexvo