Οδηγός firewall για προχωρημένους

[Spanos]

Το Thomson Speedtouch 585v6 διαθέτει ένα εξελιγμένο firewall που μπορεί να παραμετροποιηθεί πλήρως σύμφωνα με τις ανάγκες μας αρκεί να γνωρίζουμε τις εντολές για να μπορέσουμε να εκμεταλευτούμε τις δυνατότητες που δίνει το Command Line Interface.

H πλήρης λίστα εντολών βρίσκεται εδω

Επίσης ένα καλό PDF για μελέτη βρίσκεται εδω

Προτείνω να διαβάστε τα PDF πριν προχωρήσετε παρακάτω

Επειδή πολλά μοντέλα χρησιμοποιούν παρόμοιες εντολές το configuration είναι παρόμοιο. Η διαφορά με τα bussiness class μοντέλα είναι οτι ολη η παραμετροποίηση μπορεί να γίνει απο το Web Interface σε αντίθεση με τα home μοντέλα που πρέπει να γίνει απο CLI και οι δυνατότητες του Web Interface περιορίζονται σε δημιουργία κανόνων χωρίς όμως να υπάρχουν όλες οι επιλογές.

Το firewall περιλαμβάνει αρκετές δυνατότητες όπως ελέγχο TCP Flags, UDP Flags και ICMP όταν γίνεται το Stateful Packet Inspection. Δυνατότητα να κάνουμε τον router αόρατο (stealthed) ή να φαίνονται τα ports ως κλειστά (closed) με αποστολή RST packets ή άρνηση σύνδεσης. Υπάρχει η δυνατότητα να έχουμε ανοιχτά ports μονο για συγκεκριμένες IP, πράγμα αρκετά χρήσιμο για όσους τρέχουν κάποιο server ή κάποια εφαρμογή απομακρυσμένης διαχείρισης και θέλουν να αφήνουν μονο συγκεκριμένες IP να περνάνε. Επίσης υπάρχει η δυνατότητα περιορισμού της πρόσβασης απο τα PC του εσωτερικού δικτύου προς το internet και το κόψιμο κάποιοων services.

To Speedtouch 585v6 έρχετε απο το εργοστάσιο με τρία προκαθορισμένα επίπεδα

1)Block All: Μπλοκάρει ολη την κίνηση απο και προς το Speedtouch ενώ οι ορισμοί του Game & Application
sharing (ΝΑΤ) δεν επιτρέπονται

2)Standard: Επιτρέπει όλη την εξερχόμενη κίνηση, μπλοκάρει όλη την εισερχόμενη εκτός απο τους κανόνες που έχουμε ορίσει στο Game & Application
sharing (ΝΑΤ)

3)Disabled: Eπιτρέπει ολη την εξερχόμενη και εισερχόμενη κίνηση, το Game & Application
sharing(ΝΑΤ) αλλα κάνει Stateful Packet Inspection και κόβει ICMP replies χωρίς να έχει γίνει request, ghost replies και ACK ή FIN ACK, χωρίς TCP SYN.

Η βασική φιλοσοφία του firewall στο Standard επίπεδο είναι οτι όταν δημιουργούμε έναν κανόνα στο Game & Application
sharing (ΝΑΤ) τότε αυτόματα όλη η κίνηση για τα συγκεκριμένα ports περνάει απο το firewall χωρίς να χρειάζεται να κάνουμε εμείς τίποτα παραπάνω. Αυτό γίνεται για διευκόλυνση των χρηστών που δε χρειάζονται κάτι παραπάνω.

Τι γίνεται όμως όταν εμείς θέλουμε πλήρη έλεγχο της κίνησης; Πρέπει να δημιουργήσουμε επίπεδο ασφαλείας (Level), να κάνουμε port forwarding στο ΝΑΤ απο το Game & Application
sharing, exrpessions για τα service μας και κανόνες για το traffic.

Ξεκινάμε λοιπόν δημιουργώντας ένα δικό μας επίπεδο ασφαλείας με όνομα MyLevel, που δεν αφήνει την κίνηση απο το Game & Application
sharing να περνάει αυτόματα.

Κώδικας:

firewall level add name=MyLevel index=4 readonly=disabled udptrackmode=loose service=disabled proxy=enabled text="Firewall level created by the Administrator"

H διαφορά με το Standard Level είναι οτι κάνουμε disable τα host service definitions του ΝΑΤ με την εντολή service=disabled.

Έπειτα δημιουργούμε ένα κανόνα που επιτρέπει όλη την εξερχόμενη κίνηση προς το internet

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=FromLAN srcintf=lan log=disabled state=enabled action=accept

Tώρα έχουμε επιτρέψει ολη την εξερχόμενη κίνηση και μπλοκάρουμε όλη την εισερχόμενη, ακόμα και τους κανόνες που έχουμε ορίσει στο Game & Application
sharing(ΝΑΤ)

Ενεργοποιούμε το Level

Κώδικας:

firewall level set name=MyLevel

και σώζουμε τις ρυθμίσεις με

Κώδικας:

saveall

H επόμενη κίνηση είναι να επιτρέψουμε την κίνηση απο ports που έχουν οριστεί στο Game & Application
sharing. Έστω λοιπόν οτι έχουμε κάνει assign σε ένα device με το όνομα DesktopPC και ΙP 192.168.1.64 το service Emule με ports 50000 TCP και 50001 UDP.

Τότε πρέπει να δημουργήσουμε ένα expression για το service μας

Κώδικας:

expr add name=EmuleTCP type=serv proto=tcp dstport=50000

expr add name=EmuleUDP type=serv proto=udp dstport=50001

αν θέλουμε μπορούμε να δημιουργήσουμε και IP expression για το PC προαιρετικά

Κώδικας:

expr add name=DesktopPC type=ip addr=192.168.1.64 mask=0

Mετά δημιουργούμε τον κανόνα στο firewall που επιτρέπει την εισερχόμενη κίνηση σε αυτά τα ports για το συγκεκριμένο PC

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=EmuleTCP srcintf=wan dstintf=lan dstip=192.168.1.64 serv=EmuleTCP log=disabled state=enabled action=accept

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=EmuleUDP srcintf=wan dstintf=lan dstip=192.168.1.64 serv=EmuleUDP log=disabled state=enabled action=accept

Oι κανόνες μπορούν να δωθούν και με το IP expression που δημιουργήσαμε παραπάνω, δηλαδή

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=EmuleTCP srcintf=wan dstintf=lan dstip=DesktopPC serv=EmuleTCP log=disabled state=enabled action=accept

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=EmuleUDP srcintf=wan dstintf=lan dstip=DesktopPC serv=EmuleUDP log=disabled state=enabled action=accept

Αποθηκεύουμε τις ρυθμίσεις

Κώδικας:

saveall

Mπορούμε να δούμε τι κάναμε με

Κώδικας:

firewall rule list chain=forward_level_MyLevel format=cli

Πρέπει να ξέρουμε οτι οι κανόνες με μικρότερο index επεξεργάζονται πρώτοι στη λίστα, γι'αυτό καλό είναι οι κανόνες με το πιο πολύ traffic να έχουν index 1~2 κλπ

Τώρα πάμε να επεξεργαστούμε διάφορα σενάρια

Σενάριο 1 : Θέλουμε να επιτρέψουμε την εισερχόμενη κίνηση σε ένα Web Server απο ένα μονο IP

O web Server τρέχει στο PC 192.168.1.64 του δικτύου μας και ο απομακρυσμένος υπολογιστής που θέλουμε να επιτρέψουμε είναι ο 30.0.0.1

α) Κάνουμε το port forwarding απο το Game & Application
sharing

β)το expression ΗΤΤP υπάρχει ήδη οπότε δε χρειάζεται η δημιουργία του

γ) Δημιουργούμε τον κανόνα στο firewall

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=HTTP_Server srcintf=wan srcip=30.0.0.1 dstintf=lan dstip=192.168.1.64 serv=http log=enabled state=enabled action=accept

δ) Αποθηκεύουμε τις ρυθμίσεις

Κώδικας:

saveall

Σενάριο 2 : Θέλουμε να επιτρέψουμε την εισερχόμενη κίνηση στο port 113 TCP απο έναν IRC Server για ταχύτερο authentication

O IRC Client τρέχει στο PC 192.168.1.64 του δικτύου μας και ο server είναι ο 194.219.155.226 (nana.irc.gr)

α) Κάνουμε το port forwarding απο το Game & Application
sharing για port 113 TCP στο PC 192.168.1.64

β) Δημιουργούμε το expression για το service TCP 113

Κώδικας:

expr add name=Auth type=serv proto=tcp dstport=113

γ) Δημιουργούμε τον κανόνα στο firewall

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=AuthIRC srcintf=wan srcip=194.219.155.226 dstintf=lan dstip=192.168.1.64 serv=Auth log=enabled state=enabled action=accept

δ) Αποθηκεύουμε τις ρυθμίσεις

Κώδικας:

saveall

Σενάριο 3 : Θέλουμε να μπλοκάρουμε ολη την κίνηση απο ένα υπολογιστή απο το δίκτυο μας προς το internet εκτός απο το Web Browsing

O υπολογιστής που θέλουμε να επιτρέψουμε μονο Web Browsing είναι το PC 192.168.1.65

α) Δημιουργούμε τον κανόνα στο firewall

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=Allow_HTTP srcintf=lan srcip=192.168.1.65 dstintf=wan serv=!http log=enabled state=enabled action=drop

β)Αποθηκεύουμε τις ρυθμίσεις

Κώδικας:

saveall

Σενάριο 4 : Θέλουμε να επιτρέψουμε την πρόσβαση στο internet μόνο σε ένα υπoλογιστή του δικτύου μας και να αποκλείσουμε όλους τους άλλους

Ο υπολογιστής που θέλουμε να επιτρέψουμε είναι ο 192.168.1.64

α) Δημιουργούμε τον κανόνα στο firewall

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=Permit_One_PC srcintf=lan srcip=!192.168.1.64 dstintf=wan log=enabled state=enabled action=drop

β)Αποθηκεύουμε τις ρυθμίσεις

Κώδικας:

saveall

To σύμβολο [!] σημαίνει όλα εκτός απο αυτο που ακολουθεί (service, IP κλπ)



Οι κανόνες έχουν σειρά προτεραιότητας, δηλαδή ένας κανόνας με index=1 ελέγχεται πριν απο όλους τους άλλους. Αν έχουμε ένα κανόνα που μπλοκάρει όλη την κίνηση στο index=1 και έναν κανόνα που επιτρέπει την κίνηση στο index=2 θα υπερισχύσει ο πρώτος κανόνας στο index=1 και η κίνηση θα μπλοκαριστεί. Καλό είναι οι κανόνες με μεγάλο traffic να είναι ψηλά στο index

Για να δούμε τη λίστα με τους κανόνες του level μας, πρέπει να δώσουμε την εντολή

Κώδικας:

firewall rule list chain=forward_level_MyLevel format=cli

ή

Κώδικας:

firewall rule list chain=forward_level_MyLevel format=pretty

και για να αλλάξουμε τη θέση ενός κανόνα στη σειρά επεξεργασίας, δίνουμε την εντολή

Κώδικας:

:firewall rule modify chain=forward_level_MyLevel index=X newindex=Y

όπου Χ είναι η τρέχουσα θέση που έχει ο κανόνας στο index και Υ η καινούργια που θέλουμε να δώσουμε








Yπάρχει η δυνατότητα δημιουργίας κανόνων απο το Web Interface όμως θα πρέπει να δημιουργήσουμε expressions πρώτα απο το Telnet για τα δικά μας services.

Oι λειτουργίες έχουν δοκιμαστεί σε firmware 7.4.3.2.

Κάθε πρόταση ή ένσταση για βελτίωση είναι ευπρόσδεκτη.

Αν θέλει κάποιος μπορεί να προτείνει ή να ζητήσει κάποιο άλλο σενάριο χρήσης.

[giannisgr41]

καλημέρα,πολύ καλός οδηγός.θα ήθελα να σε ρωτήσω πως μπορούμε να μπλοκάρουμε ενα dyndns ονομα πχ:
user.dyndns.com.γίνεται αυτό?ευχαριστω

[pppetros]

Παρα πολυ καλος οδηγος!!

[gkal66]

Συγχαρητήρια φίλε. Πολύ καλός οδηγός.

[Spanos]

καλημέρα,πολύ καλός οδηγός.θα ήθελα να σε ρωτήσω πως μπορούμε να μπλοκάρουμε ενα dyndns ονομα πχ:
user.dyndns.com.γίνεται αυτό?ευχαριστω

Οχι, γιατι τα rules παίρνουν IPs και οχι hostnames

[zeta]

πολύ καλός οδηγός! συγχαρητήρια!

[HuskerDu]

Πως μπορούμε να κάνουμε block μια IP? Δηλ. να μπλοκάρουμε την εξερχόμενη κίνηση προς την συγκεκριμένη ΙΡ.

[Spanos]

Αν έχεις φτιάξει level σύμφωνα με το παραπάνω παράδειγμα η εντολή που θές είναι

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=Block_One_IP dstip=X.X.X.X log=enabled state=enabled action=drop

Επειδή πάντως το rule είναι απλό μπορεί να γίνει και απο το Web Interface

[HuskerDu]

Αν έχεις φτιάξει level σύμφωνα με το παραπάνω παράδειγμα η εντολή που θές είναι

Κώδικας:

firewall rule add chain=forward_level_MyLevel index=1 name=Block_One_IP dstip=X.X.X.X log=enabled state=enabled action=drop

Επειδή πάντως το rule είναι απλό μπορεί να γίνει και απο το Web Interface

Thanks, πως γίνετε από το WebInterface, δεν θέλω ακόμη να μπλέξω με το CLI, σήμερα αγόρασα το TG585v7

[Spanos]

Thanks, πως γίνετε από το WebInterface, δεν θέλω ακόμη να μπλέξω με το CLI, σήμερα αγόρασα το TG585v7

Πάτα Firewall-->Configure-->Create a new sevurity level και αφού φτιάξεις το level πάτα

Firewall-->Configure-->Edit-->Add

και πρόσθεσε τον κανόνα που θές.

[HuskerDu]

ok, clone το StandardLevel που είχα επιλέξει, μετά στα πεδία του Rule Definition τι βάζω?
Source Interface:any
Source Address:any
User-Defined:
Destination Interface:any
Destination Address:
User-Defined:xxx.xxx.xxx.xxx.-->Eδώ έβαλα την IP που θέλω να μπλοκάρω
Service:any
Action: Deny

Είναι οκ έτσι?

[DSLaManiaC]

Εχω μια ερώτηση..

Πως θα καταφέρω να πω στο firewall να μη περνάει απο κανέναν έλεγχο ένα subclass /24 πχ?

Απο κανέναν όμως. Ούτε SPI ούτε τπτ.

(Απο lan φυσικά, όχι απο wan)

[Spanos]

Όταν λες Απο lan εννοείς, απο lan προς όλους τους άλλους προορισμούς (wan, lan, dmz κλπ);

Πρώτα δημιουργείς το expression με το IP Range

:expr add name=Subclass type=ip addr=192.168.1.0/24

και μετα τον κανόνα

firewall rule add chain=forward_level_MyLevel index=1 name=AllowSubclassOut srcip=Subclass log=disabled state=enabled action=accept

για τα outbound

και μετά αν θες τον κανόνα

firewall rule add chain=forward_level_MyLevel index=2 name=AllowSubclassIn dstip=Subclass log=disabled state=enabled action=accept

για τα inbound

[mordi]

πολλύ καλλός

[DSLaManiaC]

Όταν λες Απο lan εννοείς, απο lan προς όλους τους άλλους προορισμούς (wan, lan, dmz κλπ);

Πρώτα δημιουργείς το expression με το IP Range

:expr add name=Subclass type=ip addr=192.168.1.0/24

και μετα τον κανόνα

firewall rule add chain=forward_level_MyLevel index=1 name=AllowSubclassOut srcip=Subclass log=disabled state=enabled action=accept

για τα outbound

και μετά αν θες τον κανόνα

firewall rule add chain=forward_level_MyLevel index=2 name=AllowSubclassIn dstip=Subclass log=disabled state=enabled action=accept

για τα inbound

Ναι αλλά πχ το ping το κόβει ακόμα κι έτσι.