Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

ROZWIĄZANE

Poziom 37, Nawigator Galaktyczny
  • 6330
  • 25859
  • 216

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

Na NO pojawiają się regularnie pytania o to jak umożliwić bądź uniemożliwić dostęp z internetu do LAN poprzez FunBox. Najczęściej pytania te znajdują satysfakcjonujące (?) odpowiedzi, ale sam fakt że się pojawiają świadczy o niedoinformowaniu użytkowników. Może to mieć jakiś związek z brakiem standartowej instrukcji do modemu albo z wrodzonym lenistwem użytkowników, to nie jest najważniejsze.

 

W swojej arogancji byłem przekonany że wystarczająco dobrze rozumiem jak to działa ale ostatnio zaczęły mnie nachodzić wątpliwości. Chodzi konkretnie o wzajemne relacje tych trzech ustawień:

2.png

Pytanie jest takie:

Czy dostęp "otwarty" w jednym z tych ustawień ma wpływ na inne zaznaczone ustawienia czy też każdym z nich niezależnie można osiągnąć podobny efekt?

 

Wygląda na to, że ustawienia te są, przynajmniej w jakimś stopniu, niezależne. Ustawienie zapory sieciowej na "średni", które zgodnie z opisem powinno odrzucać wszystkie połączenia przychodzące, jest ignorowane dla portów otwartych w zakladce NAT/PAT (które to z kolei "otwierają się" automagicznie bez wiedzy i woli użytkownika przy domyślnie włączonej opcji automatycznego otwierania portów w zakładce UPnP). Czy to oznacza że nawet ustawiając zaporę na jeszcze wyższy poziom nadal porty mogą się same otwierać?

 

Z drugiej strony nie ma formalnie możliwości udostępnienia komunikacji po protokołach innych niż TCP i UDP (plus "odpowiedź na ping" czyli rozumiem też ICMP, przynajmniej w jakimś stopniu). Czy dotyczy to też DMZ? Czy też w DMZ "z zewnątrz" przekazywane jest wszystko - bez związku z ustawieniami zapory i NAT/PAT? A jak się zachowa FB jeśli będzie konflikt między tymi ustawieniami (np. te same porty w NAT/PAT i DMZ ale prowadzące gdzie indziej w LAN)? Czy jest tu jakaś hierarchia ustawień?

 

Ja rozumiem że mogę sobie poeksperymentwać i się podzielić (i pewnie to zrobię), ale ciekaw jestem opinii bardziej doświadczonych kolegów.

 

 

1 ZAAKCEPTOWANE ROZWIĄZANIE

Rozwiązanie:

Poziom 31, Pasjonat Galaktyczny
  • 2217
  • 10615
  • 89

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

Ja to rozumiem tak:

Zapora nie pozwala na ruch przychodzący a jej poziom określa tylko jaki ruch wychodzący (i czy w ogóle) jest filtrowany.

Przekierowania portów uruchamiają proces translacji adresów sieciowych i jednocześnie tworzą reguły zapory umożliwiające przepuszczenia takiego ruchu do wewnątrz sieci.

UPnP umożliwia utworzenie usłudze wewnątrz sieci przekierowania portów na własne potrzeby bez względu na poziom filtrowania zapory.

DMZ, o ile jest skonfigurowany, kieruje przychodzący na FB ruch na wskazany adres o ile nie ma takiego przekierowania w zakładce NAT/PAT. Możliwe, że warto sprawdzić jakie protokoły i zakresy portów trafiają do DMZ.

Wyświetl rozwiązanie w oryginalnym poście

14 ODPOW. 14
Anonim

Nie dotyczy

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

@j131  w routerach z wolnego rynku, dostęp zdalny i wszystkie przekierowania portów, są zamknięte, zapora na średni poziom powinna wystarczyć, choć w FunBox mało jest opcji modyfikacji zabezpieczeń, jeśli coś jest nie tak i dostęp zdalny na fabrycznych ustawieniach jest, to trzeba "Pomysł" zrobić i zaznaczyć co ma być poprawione. Normalnie nie ma prawa ktoś z zewnątrz do sieci wewnętrznej wejść, czy do konfiguracji drukarki, DMZ i ICMP nie powinny być fabrycznie aktywne, jak są i jakieś tam zmiany też, to albo użytkownik miesza, albo do poprawy oprogramowanie, nie mam FunBoxa, ale Orange chyba furtek nie otwiera na gości czy wirusy, co do tematów na forum, to użytkownicy mocno grzebią w ustawieniach, otwierają co się da i udostępniają wewnętrzną sieć i zasoby, to bardzo nie bezpieczne. 


Poziom 31, Pasjonat Galaktyczny
  • 2217
  • 10615
  • 89

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

Ja to rozumiem tak:

Zapora nie pozwala na ruch przychodzący a jej poziom określa tylko jaki ruch wychodzący (i czy w ogóle) jest filtrowany.

Przekierowania portów uruchamiają proces translacji adresów sieciowych i jednocześnie tworzą reguły zapory umożliwiające przepuszczenia takiego ruchu do wewnątrz sieci.

UPnP umożliwia utworzenie usłudze wewnątrz sieci przekierowania portów na własne potrzeby bez względu na poziom filtrowania zapory.

DMZ, o ile jest skonfigurowany, kieruje przychodzący na FB ruch na wskazany adres o ile nie ma takiego przekierowania w zakładce NAT/PAT. Możliwe, że warto sprawdzić jakie protokoły i zakresy portów trafiają do DMZ.


Poziom 37, Nawigator Galaktyczny
  • 6330
  • 25859
  • 216

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

@Anonim: zgadzam się z Tobą że tak powinno być. I że juzerzy mieszają też się zgadzam. Ale pytam bo mi się czerwona lampka zapaliła w kontekście tego wątku:

 

https://nasz.orange.pl/t5/Internet-domowy/Dost%C4%99p-po-adresie-IP-publicznym/td-p/264231

 

Wygląda na to że w domyślnej konfiguracji FB3, nawet bez mieszania czegokolwiek przez juzera, może udostępnić jakieś porty na zewnątrz. Dobrze byłoby przynajmniej zdawać sobie z tego sprawę. Jeśli nie masz FB3 to niestety nie możesz tego sprawdzić.

Zanim zgłoszę w tym zakresie jakiś pomysł chcę rozeznać sytuację.


Poziom 31, Pasjonat Galaktyczny
  • 2217
  • 10615
  • 89

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

@j131Nie pamiętam czy FB ma domyślnie włączone UPnP ale jest to jedna z opcji którą sprawdzam i wyłączam przy pierwszej konfiguracji na każdym routerze. Moim zdaniem powinno to być standardowo wyłączone.


Poziom 37, Nawigator Galaktyczny
  • 6330
  • 25859
  • 216

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

@Samotnick: na ile mogę to teraz sprawdzić to domyślnie ma włączone. Też wyłączam, ale zachęcam innych kolegów żeby sprawdzili to ustawienie u siebie i dali znać.

 

Jeśli relacje między ustawieniami są faktycznie takie jak piszesz (co jest oczywiście do jakiegoś stopnia logiczne) to uważam, że GUI FB powinien prezentować aktualną efektywną konfigurację we wszystkich zakładkach, tzn. zapora sieciowa powinna pokazywać zmiany wprowadzone przez NAT/PAT (tak jak NAT/PAT pokazuje zmiany wprowadzone przez UPnP).

 

DMZ pozostaje zagadkowa ale tu to chyba faktycznie tylko eksperymenty...

 


Poziom 38, Pomocnik Międzygalaktyczny
  • 7197
  • 29503
  • 271

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

@Samotnick  UPnP jest domyślnie włączone w funboxach.


Poziom 37, Nawigator Galaktyczny
  • 6330
  • 25859
  • 216

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

Faktycznie, zgodnie z "pomocą w dymkach":

upnp.png

Czyli operator uważa, że aplikacje powinny móc automatycznie otwierać porty na modemie i domyślnie tak właśnie konfiguruje FunBoxy. Tłumaczy to potrzebami gier i komunikatorów. Z grami mógłbym się ewentualnie zgodzić, ale w dobie pandemii miałem okazję korzystać z całego wachlarza różnych komunikatorów i żaden nie wymagał otwierania portów dla połączeń przychodzących z internetu.

 

Tak dla porządku, przypominam czym grozi taki niekontrolowany dostęp do ustawień rutera (protokół UPnP nie przewiduje żadnej autoryzacji - co tylko chce może port otworzyć):

 

https://www.varonis.com/blog/the-mirai-botnet-attack-and-revenge-of-the-internet-of-things/

 

https://www.zdnet.com/article/this-sneaky-malware-will-cause-headaches-even-after-it-is-deleted-from...

 

https://www.cyberdefensemagazine.com/pinkslipbot-banking-trojan-exploiting-infected-machines-as-cont...

 

Reasumując: czy nie wydaje się Wam, że warto zapostulować zmianę tego domyślnego ustawienia?

 


Poziom 38, Pomocnik Międzygalaktyczny
  • 7197
  • 29503
  • 271

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

@j131  wiesz, jeden będzie postulował aby zmienić to ustawienie domyślne na wyłączone, drugi że jednak powinno być domyślnie włączone, faktycznie może to i racja kto chce otwierania portów zaznaczy to ustawienie, zapisze i tyle.


Poziom 26, Entuzjasta Przestworzy
  • 2298
  • 8708
  • 33

Jaka jest relacja między ustawieniami dostępu z zewnątrz do LAN przez modem

Najlepiej niech nic nie grzebią, bo zamiast naprawić jeszcze bardziej popsują.