1 (edytowany przez Liroy 2025-04-16 14:01:04)

Temat: Pytania dotyczące zabezpieczenia

mam pytania czy mogę tak używać firewalla i czy wszystko jest poprawnie ustawione Nazwy troche dziwne ale to wersja na brudno która testuje i chyba osiągnąłem to co chciałem jeśli potwierdzicie ze tak może być ustawione?

uci set firewall.@defaults[0].input='DROP'
uci set firewall.@defaults[0].output='DROP'
uci set firewall.@defaults[0].forward='DROP'
uci set firewall.@zone[0].input='DROP'
uci set firewall.@zone[0].output='DROP'
uci set firewall.@zone[0].forward='DROP'
uci set firewall.@zone[1].input='DROP'
uci set firewall.@zone[1].output='DROP'
uci set firewall.@zone[1].forward='DROP'
uci del_list firewall.@zone[1].network='wan6'
uci del firewall.@defaults[0].syn_flood # uważam ze nie potrzebne skoro i tak jest wszędzie drop
uci set firewall.@defaults[0].drop_invalid='1'
uci set firewall.@defaults[0].flow_offloading='1'
uci set firewall.@defaults[0].flow_offloading_hw='1'
uci delete firewall.@forwarding[0]
while uci -q delete firewall.@rule[0]; do :; done
while uci -q delete firewall.@redirect[0]; do :; done
uci add firewall rule
uci set firewall.@rule[-1].name='Forwarding nie forward wszystko co zezwolone'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest_port='80 443 123 8080 9113 9114 27000-27100' # gdybym nie używał adguarda pewnie musiał być dodać 53 a tak nie zezwalam wszystko leci przez adguarda
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone0 input ruter lan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].dest_port='53 443 123'    #gdybym używał opkg pewnie brakowało by portu 80
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone1 output ruter wan'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest_port='22 53 67 80 3000'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone0 output ruter lan'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest_port='68'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z lan' # w zasadzie nie wiem czy potrzebne ale zablokowałem bo widziałem jakieś podejrzane adresy i od strony lan i wan na czystym nie zabezpieczonym openwrt
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].dest_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci commit firewall
/etc/init.d/firewall restart

czy coś jest nie potrzebne?


kolejne pytanie

czy do adguarda mogę dodać

  blocked_hosts:
    - version.bind
    - id.server
    - hostname.bind
    - 127.0.0.0/8
    - 10.0.0.0/8
    - 172.16.0.0/12
    - 192.168.0.0/16
    - 169.254.0.0/16
    - 100.64.0.0/10
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - ::1
    - fc00::/7
    - fe80::/10
    - 0.0.0.0/8
    - 224.0.0.0/4
    - 240.0.0.0/4
    - 255.255.255.255

ma to jakiś sens czy wystarczy firewall czy nie blokować tego ani w adguard ani w firewallu ?
Nie wiem czy nie ide w paranoje z tym zabezpieczeniem ale jakby internet odżył po tym i był szybszy = bardziej responsywny. No i najważniejsze wszystko mi działa.

Kolejne pytanie zastanawiam się jeszcze czy do firewalla nie dołożyć blokady wan do wan oraz lan do lan z wyjątkami?

A i uprzedzę tak u mnie wszystko działa tak samo z
uci set firewall.@defaults[0].flow_offloading='1'
uci set firewall.@defaults[0].flow_offloading_hw='1'
na jeden lub ustawionym na zero  dlatego z wiadomych powodów wybieram ustawienie na jeden skoro działa tak samo a jedyne problemy jakie miałem z tym ustawieniem na jeden to SQM, tc nie działało w pełni i tym podobne, ale to temat poboczny i inaczej rozwiązałem równy podział.
Poproszę o pomoc

2

Odp: Pytania dotyczące zabezpieczenia

Ty i tak zrobiłeś domyślne polityki na DROP, więc sama blokada wan<>wan czy lan<>lan jest zbędna, bo tak to trafi na domyślną politykę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3 (edytowany przez Liroy 2025-04-16 14:42:04)

Odp: Pytania dotyczące zabezpieczenia

znaczy w temacie wan<>wan chodzi mi o dziwne zachowanie od strony dhcp ISP dziwne skany, multicasty itd od strony wan. bo w lan<>lan chodzi mi o separacje klientów samo ustawienie w radio nie wystarcza
uci set wireless.@wifi-iface[0].isolate='0' tu mam klientów którzy musza się widzieć i to działa na poziomie sterownika
uci set wireless.@wifi-iface[1].isolate='1' jednak mimo tego izoluje to tylko klientów w tym wifi, a dalej do lan do kolejnego SSID i tak widać tych z radio 0 nie wiem czy to osiągnę przez uci czy musze robić to przez nftables ale to praca na później bo obecnie wszystko jest w br-lan bez vlanów itd. nie wiem czy będę tworzył vlany jak może ograne to nftables. 

Teraz najbardziej chodzi mi czy mam dobrze zrobione pierwsze dwa pytania firewall i adguard tenn wycinek "kodów' co wkleiłem czy tak może być czy to moja paranoja i przesadziłem i czy nic się nie popsuje skoro teraz działa wszystko poprawnie a nawet szybciej? Mogę tak zostawić? Chyba już lepiej się nie da do domowej sieci?

4

Odp: Pytania dotyczące zabezpieczenia

Nie ma dobrego firewalla. Jest taki jak zrobiłeś, robiłeś go po swojemu bo ten standardowy ci nie pasował. Więc jest taki jak zrobiłeś. Dobry, zły - zrobiłeś go po swojemu, więc jakiej porady chcesz? Porzuć go i wróć do tego co openwrt daje? To Cię nie zadowoli.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5 (edytowany przez Liroy 2025-04-16 15:05:54)

Odp: Pytania dotyczące zabezpieczenia

tylko o jedno mi chodzi w tym temacie i na to szukam porady czy dodanie do adguarda tego ma jakiś sens?
    - 127.0.0.0/8
    - 10.0.0.0/8
    - 172.16.0.0/12
    - 192.168.0.0/16
    - 169.254.0.0/16
    - 100.64.0.0/10
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - ::1
    - fc00::/7
    - fe80::/10
    - 0.0.0.0/8
    - 224.0.0.0/4
    - 240.0.0.0/4
    - 255.255.255.255
czy lepiej zostawić jak było oryginalnie

  blocked_hosts:
    - version.bind
    - id.server
    - hostname.bind

oraz czy to ma sens

uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].dest_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'

czy wystarczyło by jedno

uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci commit firewall

Po prostu chodzi mi czy z tym nie poleciałem w jakąś paranoje i czy te zakresy są dobre czy niczego mi nie brakuje i czy nie wystarczyło by jedno a moze wcale nie potrzeba skoro i tak jest wszystko drop i zezwalam tylko na co zezwalam?

Oraz czy ten firewall który zrobiłem nie chodzi czy jest zły czy dobry tylko czy jest lepszy niż ten oryginalny do domowej sieci i nic mi nie popsuje takie ustawienie skoro testowałem to tydzień i wszystko działa dobrze?

6

Odp: Pytania dotyczące zabezpieczenia

Jak dla mnie to w ogóle nie ma sensu. Już pisałem - zrobiłeś domyślnie na drop, więc po co sztucznie powielasz coś co i tak zostanie dropnięte?

Jeżeli ci działa to zostaw. Ten który jest w openwrt też jest dobry.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7 (edytowany przez Liroy 2025-04-16 18:54:16)

Odp: Pytania dotyczące zabezpieczenia

ok wyczyściłem ta paranoje zostawiając resztę bo po testach okazało się masz racje nic się nie przebija z wam ani z lan tylko to co zezwolę przechodzi i o to chodziło. Ale teraz mam problem z izolacją jak to ogarnąć skoro wszystko jest w br-lan wifi 5Ghz ustawiony na isolate=1 i klienci w tym ssid się nie widzą ale widzą porty lan z portów lan widać wszystko a do tego dochodzi wifi 2,4Ghz które ustawiam na isolate=0 i teraz ci są widoczni wszędzie jak to prosto ogarnąć wystarczy blokada na mac ssid wifi 2,4Ghz a mac ssid wifi 5Ghz oraz mac lan1? Pamiętając tez ze Adguard jest na br-lan więc nie wiem czy da się to ogarnąć jedną reguła blokującą cały ruch w lan? To chyba nie zadziała myślałem żeby dać coś takiego a przed tym wyjątek na dns itd. ale nie wiem czy to zadziała chyba pomysłu z blokadą na mac lepszy bo niżej zadziała nftables niż blokady w uci?

uci add firewall rule
uci set firewall.@rule[-1].name='blokada lan'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='192.168.1.0/24'
uci set firewall.@rule[-1].dest_ip='192.168.1.0/24'
uci set firewall.@rule[-1].target='DROP'

8

Odp: Pytania dotyczące zabezpieczenia

W jednym bridge nie masz kontroli nad tym. Wycinasz na firwallu ruch pomiędzy hostami lub rozdziel to na inne sieci i wtedy kontroluj.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.