1 Temat przez MrCiek4wski (edytowany przez MrCiek4wski 2020-06-25 11:12:54)

  • Zarejestrowany: 2017-08-22
  • Posty: 64

Temat: Konfiguracja firewall

Mam taką bardzo prostą konfigurację, która nie działa:

root@OpenWrt:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].input='DROP'
firewall.@defaults[0].output='DROP'
firewall.@defaults[0].forward='DROP'
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].drop_invalid='1'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].network='lan'
firewall.@zone[0].forward='DROP'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].input='ACCEPT'
firewall.@zone[1].network='wan'
firewall.@zone[1].forward='DROP'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].dest='wan'
firewall.@forwarding[0].src='lan'
root@OpenWrt:~# uci show network.wan && uci show network.lan
network.wan=interface
network.wan.proto='static'
network.wan.netmask='255.255.255.0'
network.wan.delegate='0'
network.wan.ipaddr='192.168.2.1'
network.wan.ifname='eth1.10'
network.lan=interface
network.lan.type='bridge'
network.lan.proto='static'
network.lan.ipaddr='192.168.1.1'
network.lan.netmask='255.255.255.0'
network.lan.delegate='0'
network.lan.ifname='eth1.1'
root@OpenWrt:~# for i in FORWARD zone_lan_forward zone_wan_forward; do iptables -L $i; echo; done
Chain FORWARD (policy DROP)
target     prot opt source               destination         
forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_forward (1 references)
target     prot opt source               destination         
forwarding_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan forwarding rule chain */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone lan to wan forwarding policy */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_lan_dest_DROP  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_forward (1 references)
target     prot opt source               destination         
forwarding_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan forwarding rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_wan_dest_DROP  all  --  anywhere             anywhere             /* !fw3 */

Chcę, aby gdy coś z 192.168.1.0/24 łączy się z 192.168.2.0/24 pakiety przechodziły, ale pakiety odpowiedzi (tj. z 192.168.2.0/24 do 192.168.1.0/24) już nie. Gdy wykonuję ping ICMP z 192.168.1.214, to otrzymuje on odpowiedź od 192.168.2.133. Co mam źle?

2 Odpowiedź przez MrCiek4wski

  • Zarejestrowany: 2017-08-22
  • Posty: 64

Odp: Konfiguracja firewall

Ok, chyba widzę:

ctstate RELATED,ESTABLISHED

wyrzuciłem i teraz działa jak trzeba. Czemu fw3 dodaje to automatycznie i jak to wyłączyć?

3 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,109

Odp: Konfiguracja firewall

Jesteś pewien że to jest powodem? Każdy firewall dopuszcza pakiety RELATED,ESTABLISHED bo inaczej ruch nawiązany już by nie przechodził.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona