firewall και επιθεσεις απο το ιντερνετ!

[macro]

Ρε γεοιοαννου,........

Δε βγαινει στο ιντερνετ το πισι σου με το να κοβεις το default route και οχι το ρουτερ.

[geioannou]

Μα είναι έξω , δεν χρειάζεται να βγει έξω, είναι routable address, όταν κάποιος χτυπήσει αυτή την Ip απο έξω το ΜΚ θα απαντήσει, δεν χρειάζεται κάποιο άλλο gateway για να στείλει εκεί την κίνηση.

Εσύ που είσαι πίσω απο το ΜΚ στο Lan κομμάτι είσαι μέσα και θα πρέπει να δηλώσεις gateway για να βγείς προς τα έξω.

ναι, ετσι που το λες ειναι πιο σωστο.

- - - Updated - - -

Ρε γεοιοαννου,........

Δε βγαινει στο ιντερνετ το πισι σου με το να κοβεις το default route και οχι το ρουτερ.

για να καταλαβενομαστε. ειπα οτι δεν κανω default route γιατι θελω να το δημιουργήσω manual για να μπορεσω να "παιξω" με το table και να εχω την δυνατοτητα επιλογης του απο που θα βγαινω εξω ειτε σαν δικτυο ειτε σαν μηχανημα/συσκευη.

[ayger]

ναι, ετσι που το λες ειναι πιο σωστο.
για να καταλαβενομαστε. ειπα οτι δεν κανω default route γιατι θελω να το δημιουργήσω manual για να μπορεσω να "παιξω" με το table και να εχω την δυνατοτητα επιλογης του απο που θα βγαινω εξω ειτε σαν δικτυο ειτε σαν μηχανημα/συσκευη.

To αν κάνεις default route, παίρνει Distance 1. Έστω ότι το έχεις βάλει 100.

Σε κάθε περίπτωση όμως έχεις το λεγόμενο last resort gateway. Ακόμα και με distance 100 :P

Από κάποιο ρημάδι next hop βγαίνει το ρούτερ σου (είτε η unmarked κίνηση είτε αν έχει οριστεί αλλιώς από το mangle)

κίνηση προς τον ρούτερα input (αδιάφορα τα subnets σου)
κίνηση ΑΠΟ τον ρούτερα-output (αδιάφορα τα subnets σου)
κίνηση ΔΙΑΜΕΣΟΥ του ρουτερα -forward (εδώ μας ενδιαφέρει το subnet σου)

Από την στιμή που έχεις κάνει mangle-ότι-μπαίνει-βγαίνει-από-εκεί-που-μπήκε (το πακέτο εννοω ή το connection),
το ίδο και το αυτό (πρέπει να) ισχύει και για τα outgoing κίνησή σου εκτός αν έχει οριστεί αλλιώς (...)
Διαφορετικά, δεν θα δούλευε.

Παράδειγμα : Έρχεται κάτι στο interface1 (eth, wifi, Lte whatever) και βγαίνει με default route από άλλο? Αποτέλεσμα : Broken connection.

Ορθώς λοιπόν δέχεσαι επισκέψεις στις ανοικτές σου πόρτες διότι είναι θέμα ρύθμισης.
Εξίσου ορθό ότι με το που κρεμιεσαι (σόρρυ για το νεολογισμό) με pppoe παίρνεις public ΙΡ

Οπότε η ανάγκη firewall είναι επιτακτική.
Παίξε με τα interface lists για εξοικονόμηση κανόνων και ταχύτητα επεξεργασίας.

Αν θες κάνε ένα export compact από firewall nat+mangle και ip routes να το μελετήσουμε.

[geioannou]

λοιπον, επειδη εγινε λογος την προηγουμενη εβδομαδα και επειδή το ΣΚ που περασε ασχολήθηκα αρκετα και κανοντας αλλαγες ειδα διάφορα!

παραθετω μια εικονα και εξηγω παρακατω.



λοιπον εχουμε και λεμε. στην εικονα βλεπουμε δυο static routes. Και τα δυο εχουν το ιδιο interface σαν gateway, το οποιο ειναι το PPPOE.

Στο πρωτο βλεπουμε οτι ειναι reachable ενω στο δευτερο δεν ειναι. Αλλα,
- Με το πρωτο ολο το δικτυο βγανει στο ιντερνετ, αλλα το MK δεν κανει ping κατι απο τον εξω κοσμο.
- Με το δευτερο το MK κανει κανονικα ping σε κατι προς τα εξω, λειτουργει NTP client, ddns κλπ

και το πιο περιεργο!
οταν κανω enable το δευτερο static route, αυτο που δινει εξοδο του MK, τοτε γίνονται οι επιθεσεις που ειχα κανει αναφορα στα προηγουμενα ποστ.

ισως δεν εχει σημασια να δουμε τα τι και τα πως. εγω δεν μπορω να τα εξηγησω και να τα ερμηνευσω μιας και οι γνωσεις μου ειναι καπως περιορισμενες σε αυτο το routing κομματι.
απλα το αναφερω αυτο με τις επιθεσεις μιας και επειδη το ΣΚ εφτιαξα το Load balance και το ΜΚ εχει προσβαση στο εξω κοσμο ΔΕΝ εχω ΚΑΜΙΑ επιθεση.
πως γινετα με αυτον τον κανονα και μονο να υπαρχουν επιθεσεις! το λεω γιατι στα προηγουμενα ποστ ειπε καποιος οτι παντα ειχα επιθεσεις αλλα δεν το εβλεπα....

[kostas2911]

λοιπον, επειδη εγινε λογος την προηγουμενη εβδομαδα και επειδή το ΣΚ που περασε ασχολήθηκα αρκετα και κανοντας αλλαγες ειδα διάφορα!

παραθετω μια εικονα και εξηγω παρακατω.



λοιπον εχουμε και λεμε. στην εικονα βλεπουμε δυο static routes. Και τα δυο εχουν το ιδιο interface σαν gateway, το οποιο ειναι το PPPOE.

Στο πρωτο βλεπουμε οτι ειναι reachable ενω στο δευτερο δεν ειναι. Αλλα,
- Με το πρωτο ολο το δικτυο βγανει στο ιντερνετ, αλλα το MK δεν κανει ping κατι απο τον εξω κοσμο.
- Με το δευτερο το MK κανει κανονικα ping σε κατι προς τα εξω, λειτουργει NTP client, ddns κλπ

και το πιο περιεργο!
οταν κανω enable το δευτερο static route, αυτο που δινει εξοδο του MK, τοτε γίνονται οι επιθεσεις που ειχα κανει αναφορα στα προηγουμενα ποστ.

ισως δεν εχει σημασια να δουμε τα τι και τα πως. εγω δεν μπορω να τα εξηγησω και να τα ερμηνευσω μιας και οι γνωσεις μου ειναι καπως περιορισμενες σε αυτο το routing κομματι.
απλα το αναφερω αυτο με τις επιθεσεις μιας και επειδη το ΣΚ εφτιαξα το Load balance και το ΜΚ εχει προσβαση στο εξω κοσμο ΔΕΝ εχω ΚΑΜΙΑ επιθεση.
πως γινετα με αυτον τον κανονα και μονο να υπαρχουν επιθεσεις! το λεω γιατι στα προηγουμενα ποστ ειπε καποιος οτι παντα ειχα επιθεσεις αλλα δεν το εβλεπα....

Ο πρώτος κανονας εξυπηρετεί μόνο το συγκεκριμένο routing mark που προφανώς έχεις φτιάξει με κάποιο mangle.
Ο δεύτερος είναι ο default κανόνας και κανονικά θα έπρεπε να είναι κι αυτός reachable.

Τώρα εφόσον μιλάς για Load balancing υποθέτω ότι έχεις κάνει Mangle με το subnet του εσωτερικού σου δικτύου με αποτέλεσμα αυτός ο κανόνας να μην "πιάνει" το ίδιο το router καθώς όταν ξεκινήσει μια κίνηση από το ίδιο το router θα έχει source ip την ip του pppoe.

Άρα χωρίς τον 2ο κανόνα δεν έχει ίντερνετ το ίδιο το router αλλά έχει το lan σου λόγο του 1ου κανόνα για αυτό και δεν δουλεύουν NTP, DNS κλπ
Επομένως και χωρίς το 2ο κανόνα έχεις προσπάθεις επιθέσεων απλά το router δεν έχει gateway για να απαντήσει σε αυτά τα requests.

Η σωστή λύση να υπάρχει default gateway αλλά μαζί με ένα καλό firewall

[macro]

Φτιαξεε firewall................

[geioannou]

Φτιαξεε firewall................

μωρέ καλα τα λες αλλα το firewall αφορα το outgoing και οχι το ingoing!
με την έννοια οτι το θεμα firewall αφορα τα εισερχομενα

[deniSun]

μωρέ καλα τα λες αλλα το firewall αφορα το outgoing και οχι το ingoing!

Προφανώς θέλεις να πεις incoming/outgoing.
Κατά κύριο λόγο το fw το κάνουμε για το incoming.
Την κίνηση δηλαδή από έξω προς τα μέσα.
Εννοείται ότι το ίδιο εύκολα μπορείς να το κάνεις και για την εξερχόμενη (outgoing) κίνηση (από μέσα προς τα έξω).