26 Odpowiedź przez jerzyha (edytowany przez jerzyha 2021-03-28 18:20:32)

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Co do blokad... nadal jest zonk, ale po kolei.

Dodałem w czarnej liście czyli ograniczeniach jedną regułę blokującą wszystko:
https://i.imgur.com/ar8KHqH.png

Potem w sekcji wyjątków (białe listy) dodałem mnie i żonę z telefonami:
https://i.imgur.com/TN1uqp3.png

I do tej pory wszystko pięknie było, kompy syna zbanowane, nasze działają.

Potem dodałem kompa syna do wyjątków i ustawiłem mu pewne adresy dozwolone:
https://i.imgur.com/a6Nlulp.png

Na początku tylko jeden komputer (stacjonarny), czyli jeden adres MAC. Wszystko było zgodnie z planem.
Potem dopisałem drugi MAC (bo ma jeszcze laptopa) i dupa, najpierw drugi komputer nie miał nadal dostępu mimo dopisania do listy MACów, więc zrobiłem restart routera, wtedy... stało się jeszcze gorzej, drugi komputer owszem, uzyskał dostęp, ale DO WSZYSTKIEGO, a nie tylko tego co jest na liście dozwolonych wyjątków. Może zatam latać po YT, po discordzie, steamie itd.

Co robię źle? Bo ewidentnie coś muszę robić, skoro Wam wszystkim to działa.

27 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Ja odnośnie 3 screeshota - pełny url odpowiada "microsoft" czy "teams"? To nie zadziała przecież.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

28 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Masz rację, tyle razy już to pisałem, że mi się pierdyknęło. Poprawione.
Ale to nie tłumaczy tego co opisałem. Powoli dochodzę do wniosku, że być może GUI coś psuje, że chyba niepoprawnie wywołuje pod spodem zapis tych reguł.

29 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Pokaż wynik poleceń

iptables -v -L egress_restrictions
iptables -v -L egress_whitelist

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

30 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

root@GargoyleXiaomi:~# iptables -v -L egress_restrictions
Chain egress_restrictions (1 references)
 pkts bytes target     prot opt in     out     source               destination         
15201 1918K egress_whitelist  all  --  any    any     anywhere             anywhere 

root@GargoyleXiaomi:~# iptables -v -L egress_whitelist
Chain egress_whitelist (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 1627  747K CONNMARK   all  --  any    any     anywhere             anywhere             MAC F8:E4:E3:D8:19:95 CONNMARK or 0x8000000
  639 89012 CONNMARK   all  --  any    any     anywhere             anywhere             MAC F8:16:54:E4:D2:11 CONNMARK or 0x8000000
   41  6219 CONNMARK   all  --  any    any     anywhere             anywhere             MAC 80:35:C1:3D:CE:1F CONNMARK or 0x8000000
   51  7661 CONNMARK   all  --  any    any     anywhere             anywhere             MAC 2C:D0:66:E2:62:B0 CONNMARK or 0x8000000
    0     0 CONNMARK   all  --  any    any     anywhere             anywhere             MAC 00:0C:29:71:AD:B4 CONNMARK or 0x8000000
11184  679K CONNMARK   all  --  any    any     anywhere             anywhere             MAC 14:F6:D8:8C:91:BE CONNMARK or 0x8000000
13409 1523K ACCEPT     all  --  any    any     anywhere             anywhere             connmark match  0x8000000/0xff000000
 1090  239K CONNMARK   all  --  any    any     anywhere             anywhere             CONNMARK and 0xffffff
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains wikipedia --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains wikimedia --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains azure.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains outlook.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains windows --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains gdynia --domain_only  CONNMARK or 0x1000000
    5  2180 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoft.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains office.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains skype.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoftonline.com --domain_only  CONNMARK or 0x1000000
    3  1671 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains teams --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains live.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains office.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains azureedge.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains sharepoint.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoft.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains akmaihd.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains svc.ms --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains sharepointonline.com --domain_only  CONNMARK or 0x1000000
    2  1114 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains spotify --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains onenote.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains nuadu --domain_only  CONNMARK or 0x1000000
    5  2180 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoft --domain_only  CONNMARK or 0x1000000
    3  1671 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains teams --domain_only  CONNMARK or 0x1000000
  504  168K CONNMARK   tcp  --  any    any     anywhere             anywhere             MAC E8:94:F6:21:E2:0B CONNMARK or 0x40000000
    5  2180 ACCEPT     all  --  any    any     anywhere             anywhere             connmark match  0x41000000/0xff000000
 1085  237K CONNMARK   all  --  any    any     anywhere             anywhere             CONNMARK and 0xffffff
  176 93505 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains http  CONNMARK or 0xff000000
   73  3365 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:www connmark match ! 0xff000000/0xff000000
  623  127K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https connmark match ! 0xff000000/0xff000000
  176 93505 REJECT     tcp  --  any    any     anywhere             anywhere             connmark match  0xff000000/0xff000000 reject-with tcp-reset
  213 12935 CONNMARK   all  --  any    any     anywhere             anywhere             CONNMARK and 0xffffff

31 Odpowiedź przez jerzyha (edytowany przez jerzyha 2021-03-28 20:07:30)

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Sorki, tamta reguła restrictions była wyłączona, gdy wykonałem polecenie, od kilku h siedzę i rzeźbię, już mam takie nerwy, że głowa mała, polecenie wygląda tak:

root@GargoyleXiaomi:~# iptables -v -L egress_restrictions
Chain egress_restrictions (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 1605  149K egress_whitelist  all  --  any    any     anywhere             anywhere            
   11   554 REJECT     tcp  --  any    any     anywhere             anywhere             reject-with tcp-reset
   17  1616 REJECT     all  --  any    any     anywhere             anywhere             reject-with icmp-port-unreachable

32 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Mi działają kombinacje które robisz. Wyczyść to, zrestartuj router, i postaraj się zrobić same minimum które powoduje jakiś problem, tak żebym mógł to powtórzyć u siebie i zobaczyć czy też tak będzie się działo.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

33 Odpowiedź przez jerzyha (edytowany przez jerzyha 2021-03-29 08:48:42)

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Ok, odezwę się po południu,  teraz e-lekcje i nie mogę robić rewolucji.

ps. jeszcze mnie taka refleksja naszła... czy możliwe jest, że w polu MAC podczas dodawania reguły wkleja się jakiś śmieciowy, niewidoczny kod ASCII skopiowany z listy aktywnych połączeń i on potem trafia do pliku konfiguracyjnego i zaburza jego przetwarzanie przez system?

34 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Jeszcze tylko dodam ciekawostkę, obecnie oba polecenia iptables pokazują to:

root@GargoyleXiaomi:~# iptables -v -L egress_whitelist
Chain egress_whitelist (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 209K   20M CONNMARK   all  --  any    any     anywhere             anywhere             MAC F8:E4:E3:D8:19:95 CONNMARK or 0x8000000
36841 9518K CONNMARK   all  --  any    any     anywhere             anywhere             MAC F8:16:54:E4:D2:11 CONNMARK or 0x8000000
11200 7969K CONNMARK   all  --  any    any     anywhere             anywhere             MAC 80:35:C1:3D:CE:1F CONNMARK or 0x8000000
54474 5141K CONNMARK   all  --  any    any     anywhere             anywhere             MAC 2C:D0:66:E2:62:B0 CONNMARK or 0x8000000
    0     0 CONNMARK   all  --  any    any     anywhere             anywhere             MAC 00:0C:29:71:AD:B4 CONNMARK or 0x8000000
 103K   26M CONNMARK   all  --  any    any     anywhere             anywhere             MAC 14:F6:D8:8C:91:BE CONNMARK or 0x8000000
 414K   69M ACCEPT     all  --  any    any     anywhere             anywhere             connmark match  0x8000000/0xff000000
 399K   31M CONNMARK   all  --  any    any     anywhere             anywhere             CONNMARK and 0xffffff
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains wikipedia --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains wikimedia --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains azure.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains outlook.com --domain_only  CONNMARK or 0x1000000
   61 17287 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains windows --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains gdynia --domain_only  CONNMARK or 0x1000000
  431  150K CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoft.com --domain_only  CONNMARK or 0x1000000
   20 12244 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains office.net --domain_only  CONNMARK or 0x1000000
    3  1671 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains skype.com --domain_only  CONNMARK or 0x1000000
    6  1500 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoftonline.com --domain_only  CONNMARK or 0x1000000
  140 61931 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains teams --domain_only  CONNMARK or 0x1000000
   20  5628 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains live.com --domain_only  CONNMARK or 0x1000000
   15  8455 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains office.com --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains azureedge.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains sharepoint.com --domain_only  CONNMARK or 0x1000000
    1   557 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoft.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains akmaihd.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains svc.ms --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains sharepointonline.com --domain_only  CONNMARK or 0x1000000
  193  107K CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains spotify --domain_only  CONNMARK or 0x1000000
    1   557 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains onenote.com --domain_only  CONNMARK or 0x1000000
    1   648 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains nuadu --domain_only  CONNMARK or 0x1000000
  438  152K CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoft --domain_only  CONNMARK or 0x1000000
  140 61931 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains teams --domain_only  CONNMARK or 0x1000000
    2  1114 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains msecnd --domain_only  CONNMARK or 0x1000000
    6  1500 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains microsoftonline --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains googletagmanager --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains hotjar --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains msauth --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains msftauth --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains azure.net --domain_only  CONNMARK or 0x1000000
    0     0 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains userway --domain_only  CONNMARK or 0x1000000
  110 62325 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains google --domain_only  CONNMARK or 0x1000000
    1   633 CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains gstatic --domain_only  CONNMARK or 0x1000000
 259K   22M CONNMARK   tcp  --  any    any     anywhere             anywhere             MAC E8:94:F6:21:E2:0B CONNMARK or 0x40000000
  526  202K ACCEPT     all  --  any    any     anywhere             anywhere             connmark match  0x41000000/0xff000000
 398K   31M CONNMARK   all  --  any    any     anywhere             anywhere             CONNMARK and 0xffffff
 5965 2453K CONNMARK   tcp  --  any    any     anywhere             anywhere            WEBURL --contains http  CONNMARK or 0xff000000
 8105  414K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:www connmark match ! 0xff000000/0xff000000
 381K   27M ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https connmark match ! 0xff000000/0xff000000
 5961 2451K REJECT     tcp  --  any    any     anywhere             anywhere             connmark match  0xff000000/0xff000000 reject-with tcp-reset
 2761  604K CONNMARK   all  --  any    any     anywhere             anywhere             CONNMARK and 0xffffff
root@GargoyleXiaomi:~# iptables -v -L egress_restrictions
Chain egress_restrictions (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 828K  101M egress_whitelist  all  --  any    any     anywhere             anywhere            
 1192 61243 REJECT     tcp  --  any    any     anywhere             anywhere             reject-with tcp-reset
 1608  544K REJECT     all  --  any    any     anywhere             anywhere             reject-with icmp-port-unreachable

i w tych regułach nie występuje MAC 44:1C:A8:18:1D:A7, który należy do laptopa mojego dzieciaka, a mimo to jego laptop ma pełny dostęp do sieci, jak to wyjaśnić?

35 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Jeżeli założyłeś regułę to zobacz w pliku /etc/config/firewall, tam masz wszystko co spisałeś. Tam też będziesz widział czy zrobiłeś  spacje czy nie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

36 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Dzięki, wszystko teraz lepiej widzę.
Tutaj reguła z tym laptopem jest, bo ją rzeczywiście mam zdefiniowaną, ale wyłączoną i tu też jest option enabled '0':

config whitelist_rule 'exception_4'
        option is_ingress '0'
        option description 'Kornik-laptop-school'
        option family 'any'
        option local_addr '44:1C:A8:18:1D:A7'
        option proto 'both'
        option url_domain_contains '"microsoft","teams","azure","skype","live","office","outlook","sharepoint","akmaihd","onenote","svc.ms","windo
ws","nuadu","gdynia","spotify","wikipedia","wikimedia"'
        option enabled '0'

Tak czy owak na lapku wszystko śmiga. Ale risercz zrobię później, mam za to jeszcze kilka pytań:
- jaki jest manager pakietów w tym linuksie? da się zainstalować mc? byłoby wygodniej
- czy mogę te reguły edytować modyfikując bezpośrednio plik firewall? to by znacznie przyspieszyło wpisywanie tego stosu domen

37 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

- manager pakietów to opkg. Chyba pytałeś o managera plików, tak jest mc, o ile masz miejsce żeby go zainstalować.
- tak, pewnie że możesz to robćc z konsoli. Zawsze mogłeś.

Jak masz wyłączoną to siłą rzeczy nie zobaczysz tego w regułkach działającego firewalla.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

38 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

O manager pakietów pytałem, żeby nim zainstalować mc :-)
Co do reguły to chodziło mi o to, że w whiteliście NIE BYŁO reguły dla tego MACA (laptopa mojego syna Kornika) a mimo to ma pełny dostęp do sieci. Przy czym przypominam, że jest reguła w blackliście blokująca cały ruch.

39 Odpowiedź przez jerzyha (edytowany przez jerzyha 2021-03-30 08:56:43)

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

No to jest taka sytuacja, w sieci jest kilka komputerów i telefonów, moje i żony oraz syna.
Z tego całego majdanu syn ma dwa komputery o takich adresach:

E8:94:F6:21:E2:0B - stacjonarny
44:1C:A8:18:1D:A7 - laptop

Ustawiłem ograniczenie na wszystko i zrobiłem dwie reguły w whiteliście:
1) dla mnie i dla żony przepuszczająca wszystko
2) dla syna TYLKO dla komputera stacjonarnego i tylko na listę określonych domen

Skutek jest taki, że komputer stacjonarny syna ma dostęp tylko do tego co ma ustawione w regule czyli strony teamsów, microsoftu itd, za to jego laptop, który w ogóle nie dostał reguły i nie ma jego MACa nigdzie dodanego ma dostęp DO WSZYSTKIEGO!

Na lapku jest Win10, oto wynik polecenia ipconfig /all:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : DESKTOP-IKPE3SM
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : lan

Ethernet adapter Ethernet:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physical Address. . . . . . . . . : 30-65-EC-AA-F9-63
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Połączenie lokalne* 1:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physical Address. . . . . . . . . : 46-1C-A8-18-1D-A7
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Połączenie lokalne* 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Physical Address. . . . . . . . . : 56-1C-A8-18-1D-A7
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wi-Fi:

   Connection-specific DNS Suffix  . : lan
   Description . . . . . . . . . . . : Qualcomm Atheros QCA61x4 Wireless Network Adapter
   Physical Address. . . . . . . . . : 44-1C-A8-18-1D-A7
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::10df:d059:f6d1:7104%12(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.1.30(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : wtorek, 30 marca 2021 09:08:53
   Lease Expires . . . . . . . . . . : wtorek, 30 marca 2021 21:48:22
   Default Gateway . . . . . . . . . : 192.168.1.1
   DHCP Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6 IAID . . . . . . . . . . . : 105127080
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-F0-97-04-30-65-EC-AA-F9-63
   DNS Servers . . . . . . . . . . . : 192.168.1.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

A poniżej pełna zawartość pliku konfiguracyjnego firewalla z Gargoyla:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option enforce_dhcp_assignments '1'
    option force_router_dns '1'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'
    option reload '1'

config include
    option type 'script'
    option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
    option family 'any'
    option reload '1'

config include 'openvpn_include_file'
    option path '/etc/openvpn.firewall'
    option reload '1'

config include 'wireguard_include_file'
    option path '/etc/wireguard.firewall'
    option reload '1'

config redirect_disabled 'redirect_disabled_number_0'
    option name 'syncthing'
    option src 'wan'
    option dest 'lan'
    option family 'ipv4'
    option proto 'tcp'
    option src_dport '22000'
    option dest_ip '192.168.1.10'
    option dest_port '22000'

config restriction_rule 'rule_1'
    option is_ingress '0'
    option description 'bloada'
    option family 'any'
    option enabled '1'

config whitelist_rule 'exception_1'
    option is_ingress '0'
    option description 'Madzia_ja'
    option family 'any'
    option local_addr '14:F6:D8:8C:91:BE,F8:16:54:E4:D2:11,80:35:C1:3D:CE:1F,F8:E4:E3:D8:19:95,2C:D0:66:E2:62:B0'
    option enabled '1'

config whitelist_rule 'exception_2'
    option is_ingress '0'
    option description 'Kornik_school'
    option family 'any'
    option local_addr 'E8:94:F6:21:E2:0B'
    option proto 'both'
    option url_domain_contains '"wikipedia","wikimedia","windows","teams","skype.com","microsoftonline","microsoft","office.net","office.com","live.com","sharepoint.com","akmaihd.net","svc.ms","sharepointonline.com","nuadu","onenote.com","msecnd","googletagmanager","hotjar","msauth","msftauth","userway","google","gstatic","gdynia","spotify"'
    option enabled '1'

I teraz niech ktoś mi powie o co kaman? Czy openWRT ma buga w firewallu? Czy Windows 10 umie omijać reguły w firewallach? A może ruter Xiaomi ma jakiś problem?

40 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Mi się nie zdarzył taki przypadek.

Wyłącz w gargoyle serwer dhcp ipv6 (konfiguracja/dhcp), zrestartuj oba i zobacz czy nadal będzie miał dostęp do internetu.


Jeżeli to nie zadziała i będzie miał dostęp - usuń obie reguły z whitelisty, zrestartuj router i zobacz czy nadal będzie miał dostęp.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

41 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

DHCP ipv6 mam wyłączone od 3 dni, tak przynajmniej mi się wydaje, za to mam ten komputer dodany do listy statycznych IP, czy to może mieć związek?

https://i.imgur.com/eKTvg2n.png

Co do usuwania reguł z whitelisty to nie mogę do 16.00, bo żona pracuje po VPNie. Sprawdzę po południu.

42 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Static DHCP nie powinien mieć z tym nic wspólnego, to tylko określenie adres ma dany host.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

43 Odpowiedź przez jerzyha (edytowany przez jerzyha 2021-03-30 15:23:58)

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Sprawdziłem. Jest tak. Jak zostawię włączoną tylko blokadę (czarna lista) to laptop młodego traci połączenie (tak jak wszystkie inne urządzenia). Jednak, gdy włączę regułę od jego kompa stacjonarnego (Kornik_school) w której jest MAC od komputera stacjonarnego, a nie od tego laptopa, to laptop od razu ma dostęp do wszystkiego, nie tylko do tego co jest w regule zdefiniowane, ale także discorda, yt czy czegokolwiek innego.
Jak dla mnie magia.


ps. przyciśnięty kolanem młody przyznał, że robił wcześniej trick, że jak mu się blokada pojawiała i nie działał youtube to przełączał się na sieć 5GHz i youtube zaczynał działać, a gdy blokada pojawiała się gdy był na 5Ghz to przełączał się na 2.4GHz i było to samo. Ale teraz już tego nie robi, bo po prostu żadne blokady go nie obejmują.

44 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Nie potrafię tego powtórzyć. Na czystej instalacji mam skopiowane twoje reguły firewalla i to działa, dowolny klient jakim się podłączam do routera ma zablokowany dostęp.

PS. Sieci 2.4G i 5G to jest jeden lan. Przełączenie medium jednego na drugie nie może spowodować  że reguły nie działają, bo to nie działa na warstwie medium tylko na firewallu na całym lanie.
PPS. Nawiązując do powyższego - jesteś absolutnie pewien że w domu nie masz rozgłaszanej sieci o takim samym ssid z innego routera lub nawet telefonu i ten laptop łączy się do czegoś innego a nie do tego xiaomi?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

45 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Jestem pewien, bo widzę go w tym routerze:
https://i.imgur.com/3WEmJF7.png

Ale jest nowy trop od młodego! Mówi, że co kilka minut rozłącza mu tego lapka na minutę, na screenie widać że dzierżawa jest od 3 minut, mimo, że już od godziny coś tam na lapku robi. Czyli wygląda jakby firewall uwalał mu połączenie, a z jakiegoś powodu ono się wznawia i trwa kilka minut. I tak w kółko.

46 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Patrz w logi, polecenie logread, i poszukaj sobie zdarzeń związanych z tym adresem MAC.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

47 Odpowiedź przez jerzyha

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Cezary napisał/a:

Nie potrafię tego powtórzyć. Na czystej instalacji mam skopiowane twoje reguły firewalla i to działa, dowolny klient jakim się podłączam do routera ma zablokowany dostęp.

Imho gdyby to był tak łatwy do odtworzenia błąd to pewnie dawno by go już naprawiono. Jest tu wiele składowych, mam inny router niż Ty, mam innego lapka, być może inna wersja systemu. Ja wiem, że teoretycznie to bez znaczenia, że to się odbywa na poziomie protokołów i standardów, ale ...teoretycznie właśnie. Jest ewidentnie jakiś błąd i tyle. Jak chcesz dam Ci zdalny dostęp do shella w routerze i zobaczysz od środka.

48 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Nie, nie chcę. Nie mam na tyle czasu żeby zgadać się na określony przedział czasowy i coś porobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

49 Odpowiedź przez jerzyha (edytowany przez jerzyha 2021-03-30 16:22:36)

  • Zarejestrowany: 2018-03-05
  • Posty: 135

Odp: Gargoyle i biała lista

Analizuj :-) Są tu jakieś cudaki z MACiem 44:1c:a8:18:1d:a7

Tue Mar 30 16:42:43 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: authenticated
Tue Mar 30 16:42:43 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: associated (aid 3)
Tue Mar 30 16:42:43 2021 daemon.notice hostapd: wlan0: AP-STA-CONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:42:43 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 RADIUS: starting accounting session B4CA0946F436155B
Tue Mar 30 16:42:43 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 WPA: pairwise key handshake completed (RSN)
Tue Mar 30 16:42:43 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7
Tue Mar 30 16:42:43 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7 acer-bialy
Tue Mar 30 16:42:45 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7
Tue Mar 30 16:42:45 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7 acer-bialy
Tue Mar 30 16:42:47 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.124 34:69:87:49:74:e1
Tue Mar 30 16:42:47 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.124 34:69:87:49:74:e1 android-b47ebaf2e157b58a
Tue Mar 30 16:42:51 2021 daemon.notice hostapd: wlan0: AP-STA-DISCONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:42:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: disassociated
Tue Mar 30 16:42:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: authenticated
Tue Mar 30 16:42:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: associated (aid 3)
Tue Mar 30 16:42:51 2021 daemon.notice hostapd: wlan0: AP-STA-CONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:42:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 RADIUS: starting accounting session C86F3AB3CCD73FD1
Tue Mar 30 16:42:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 WPA: pairwise key handshake completed (RSN)
Tue Mar 30 16:42:51 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7
Tue Mar 30 16:42:51 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7 acer-bialy
Tue Mar 30 16:43:15 2021 daemon.info dnsmasq-dhcp[3664]: DHCPINFORM(br-lan) 192.168.1.231 00:0c:29:4f:4a:c1
Tue Mar 30 16:43:15 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.231 00:0c:29:4f:4a:c1 Win7x64ProVMTokyo
Tue Mar 30 16:43:31 2021 daemon.notice hostapd: wlan0: AP-STA-DISCONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:43:31 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: authenticated
Tue Mar 30 16:43:31 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: associated (aid 3)
Tue Mar 30 16:43:31 2021 daemon.notice hostapd: wlan0: AP-STA-CONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:43:31 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 RADIUS: starting accounting session C86F3AB3CCD73FD1
Tue Mar 30 16:43:31 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 WPA: pairwise key handshake completed (RSN)
Tue Mar 30 16:43:31 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7
Tue Mar 30 16:43:31 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7 acer-bialy

i

Tue Mar 30 16:52:51 2021 daemon.notice hostapd: wlan0: AP-STA-DISCONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:52:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: authenticated
Tue Mar 30 16:52:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: associated (aid 3)
Tue Mar 30 16:52:51 2021 daemon.notice hostapd: wlan0: AP-STA-CONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:52:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 RADIUS: starting accounting session 70849436C021F74B
Tue Mar 30 16:52:51 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 WPA: pairwise key handshake completed (RSN)
Tue Mar 30 16:52:51 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7
Tue Mar 30 16:52:51 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7 acer-bialy
Tue Mar 30 16:53:15 2021 daemon.info dnsmasq-dhcp[3664]: DHCPINFORM(br-lan) 192.168.1.231 00:0c:29:4f:4a:c1
Tue Mar 30 16:53:15 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.231 00:0c:29:4f:4a:c1 Win7x64ProVMTokyo
Tue Mar 30 16:53:42 2021 daemon.notice hostapd: wlan0: AP-STA-DISCONNECTED 84:e3:42:49:ec:2c
Tue Mar 30 16:53:45 2021 daemon.info hostapd: wlan0: STA 84:e3:42:49:ec:2c IEEE 802.11: authenticated
Tue Mar 30 16:53:45 2021 daemon.info hostapd: wlan0: STA 84:e3:42:49:ec:2c IEEE 802.11: associated (aid 1)
Tue Mar 30 16:53:45 2021 daemon.notice hostapd: wlan0: AP-STA-CONNECTED 84:e3:42:49:ec:2c
Tue Mar 30 16:53:45 2021 daemon.info hostapd: wlan0: STA 84:e3:42:49:ec:2c RADIUS: starting accounting session BC6332366C7C1482
Tue Mar 30 16:53:45 2021 daemon.info hostapd: wlan0: STA 84:e3:42:49:ec:2c WPA: pairwise key handshake completed (RSN)
Tue Mar 30 16:53:45 2021 daemon.info dnsmasq-dhcp[3664]: DHCPDISCOVER(br-lan) 84:e3:42:49:ec:2c
Tue Mar 30 16:53:45 2021 daemon.info dnsmasq-dhcp[3664]: DHCPOFFER(br-lan) 192.168.1.170 84:e3:42:49:ec:2c
Tue Mar 30 16:53:45 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.170 84:e3:42:49:ec:2c
Tue Mar 30 16:53:45 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.170 84:e3:42:49:ec:2c Tuya-krewetki-light
Tue Mar 30 16:54:01 2021 daemon.notice hostapd: wlan0: AP-STA-DISCONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:54:01 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: disassociated
Tue Mar 30 16:54:01 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: disassociated
Tue Mar 30 16:54:01 2021 daemon.info hostapd: wlan0: STA 44:1c:a8:18:1d:a7 IEEE 802.11: disassociated
Tue Mar 30 16:54:02 2021 daemon.info hostapd: wlan1: STA 44:1c:a8:18:1d:a7 IEEE 802.11: authenticated
Tue Mar 30 16:54:02 2021 daemon.info hostapd: wlan1: STA 44:1c:a8:18:1d:a7 IEEE 802.11: associated (aid 1)
Tue Mar 30 16:54:02 2021 daemon.notice hostapd: wlan1: AP-STA-CONNECTED 44:1c:a8:18:1d:a7
Tue Mar 30 16:54:02 2021 daemon.info hostapd: wlan1: STA 44:1c:a8:18:1d:a7 RADIUS: starting accounting session 8AC4F1F3D12FB10D
Tue Mar 30 16:54:02 2021 daemon.info hostapd: wlan1: STA 44:1c:a8:18:1d:a7 WPA: pairwise key handshake completed (RSN)
Tue Mar 30 16:54:04 2021 daemon.info dnsmasq-dhcp[3664]: DHCPREQUEST(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7
Tue Mar 30 16:54:04 2021 daemon.info dnsmasq-dhcp[3664]: DHCPACK(br-lan) 192.168.1.30 44:1c:a8:18:1d:a7 acer-bialy

i tak w kilku miejscach loga

50 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,061

Odp: Gargoyle i biała lista

Nic ciekawego nie ma, jest tylko sam fakt że się podłączył i rozłączyć, i faktycznie trochę za często to robi. Sygnał też masz trochę słaby.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona