Temat: Pytania dotyczące zabezpieczenia
mam pytania czy mogę tak używać firewalla i czy wszystko jest poprawnie ustawione Nazwy troche dziwne ale to wersja na brudno która testuje i chyba osiągnąłem to co chciałem jeśli potwierdzicie ze tak może być ustawione?
uci set firewall.@defaults[0].input='DROP'
uci set firewall.@defaults[0].output='DROP'
uci set firewall.@defaults[0].forward='DROP'
uci set firewall.@zone[0].input='DROP'
uci set firewall.@zone[0].output='DROP'
uci set firewall.@zone[0].forward='DROP'
uci set firewall.@zone[1].input='DROP'
uci set firewall.@zone[1].output='DROP'
uci set firewall.@zone[1].forward='DROP'
uci del_list firewall.@zone[1].network='wan6'
uci del firewall.@defaults[0].syn_flood # uważam ze nie potrzebne skoro i tak jest wszędzie drop
uci set firewall.@defaults[0].drop_invalid='1'
uci set firewall.@defaults[0].flow_offloading='1'
uci set firewall.@defaults[0].flow_offloading_hw='1'
uci delete firewall.@forwarding[0]
while uci -q delete firewall.@rule[0]; do :; done
while uci -q delete firewall.@redirect[0]; do :; done
uci add firewall rule
uci set firewall.@rule[-1].name='Forwarding nie forward wszystko co zezwolone'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest_port='80 443 123 8080 9113 9114 27000-27100' # gdybym nie używał adguarda pewnie musiał być dodać 53 a tak nie zezwalam wszystko leci przez adguarda
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone0 input ruter lan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].dest_port='53 443 123' #gdybym używał opkg pewnie brakowało by portu 80
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone1 output ruter wan'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest_port='22 53 67 80 3000'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone0 output ruter lan'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest_port='68'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z lan' # w zasadzie nie wiem czy potrzebne ale zablokowałem bo widziałem jakieś podejrzane adresy i od strony lan i wan na czystym nie zabezpieczonym openwrt
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].dest_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci commit firewall
/etc/init.d/firewall restart
czy coś jest nie potrzebne?
kolejne pytanie
czy do adguarda mogę dodać
blocked_hosts:
- version.bind
- id.server
- hostname.bind
- 127.0.0.0/8
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 169.254.0.0/16
- 100.64.0.0/10
- 192.0.0.0/24
- 192.0.2.0/24
- 198.18.0.0/15
- 198.51.100.0/24
- 203.0.113.0/24
- ::1
- fc00::/7
- fe80::/10
- 0.0.0.0/8
- 224.0.0.0/4
- 240.0.0.0/4
- 255.255.255.255
ma to jakiś sens czy wystarczy firewall czy nie blokować tego ani w adguard ani w firewallu ?
Nie wiem czy nie ide w paranoje z tym zabezpieczeniem ale jakby internet odżył po tym i był szybszy = bardziej responsywny. No i najważniejsze wszystko mi działa.
Kolejne pytanie zastanawiam się jeszcze czy do firewalla nie dołożyć blokady wan do wan oraz lan do lan z wyjątkami?
A i uprzedzę tak u mnie wszystko działa tak samo z
uci set firewall.@defaults[0].flow_offloading='1'
uci set firewall.@defaults[0].flow_offloading_hw='1'
na jeden lub ustawionym na zero dlatego z wiadomych powodów wybieram ustawienie na jeden skoro działa tak samo a jedyne problemy jakie miałem z tym ustawieniem na jeden to SQM, tc nie działało w pełni i tym podobne, ale to temat poboczny i inaczej rozwiązałem równy podział.
Poproszę o pomoc