temat Funbox 6 NAT i firewall w Modemy i routery

Funbox 6 NAT i firewall

piotrusx — Mon, 28 Oct 2024 17:47:52 GMT

Dzień dobry.

Chciałbym wykonać konfigurację przekierowania portu wraz z limitowaniem dostępu do niego per zdefiniowane IP zewnętrzne.

Wykonuję to i przekierowanie działa poprawnie, jednakże firewall nie ma wpływu na dostępność tego portu.

Niezależnie co ustawię, port jest zawsze dla wszystkich dostępny.

Zastanawia tekst widoczny na karcie NATu. "Uwaga! Upewnij się, że zapora sieciowa nie filtruje tych portów.". Żeby było ciekawiej nawet, gdy tego portu nie ma na liście (oczywiście mówimy o konfiguracji firewall'a w opcji użytkownika) Funbox robi NATOwanie i wpuszcza każdego.

Gdy na wzór domyślnego wpisu dla portó IRC ustawię, że mój port ma być zablokowany - dalej NAT'owanie działa.

Robiłem restart urządzenia, ale to nic nie zmienia.

Czy ktoś się orientuje czy taka konfiguracja jest możliwa?

Odnoszę wrażenie, że reguły NATu na tym urządzeniu nie podlegają firewallowi. Są zawsze dostępne dla wszystkich połączeń przychodzących.

Funbox 6 NAT i firewall

Samotnick — Mon, 28 Oct 2024 19:34:31 GMT

@piotrusx Nie wiem czy pomogę ale pamiętaj, że DNAT jest wykonywany jako pierwszy a reguły firewalla na FB powinny być sprawdzane później, przy forwardowaniu (czyli w łańcuchu forward należy używać adresu zewnętrznego źródła i wewnętrznego klienta). Rozumiem, że urządzenie na które przekierowujesz nie ma konfigurowalnej zapory?

Funbox 6 NAT i firewall

piotrusx — Tue, 29 Oct 2024 07:41:07 GMT

Próbowałem i z regułą na wewnętrznym adresie, ale firewall też nie działa. On w ogóle nie działa na DNAT, bo nawet jak nie ma reguły to jest dostępny dla wszystkich przekierowany, wewnętrzny port.

Co ciekawe nawet opis na stronie konfiguracyjnej Funboxa wprowadza w błąd w tym temacie.

Jedyne co mi działa to włączania/wyłączanie odpowiedzi na pakiet ICMP 🤣

Gdyby urządzenie za NATem miało własny FW próbowałbym inaczej.

Funbox 6 NAT i firewall

j131 — Tue, 29 Oct 2024 08:23:56 GMT

@piotrusx

Mało kto tu używa na FB6 własnej konfiguracji fw. Możliwe że w oprogramowaniu jest błąd. Ale gdybyś pokazał swoją konfigurację byłoby łatwiej zreplikować i ewentualnie poprawić.

Funbox 6 NAT i firewall

Samotnick — Tue, 29 Oct 2024 09:14:30 GMT

@piotrusxZ mojego testu wychodzi, że te reguły dotyczą wyłącznie ruchu wychodzącego inicjowanego z wewnątrz i reguła dopuszczająca i blokująca działa poprawnie (na FB3). Z NATem będzie inaczej, ponieważ połączenie istnieje już w conntracku.

PS Zobacz jakie bywały jazdy z zaporą w FB6 - https://nasz.orange.pl/t5/Modemy-i-routery/Funbox6-problem-z-firewallem/m-p/389525

PS2 Reguły, które operują na stanach połączenia nie są wyświetlane i mają wyższy priorytet od tych tworzonych przez użytkownika.