Ответы пользователя по тегу Firewall
  • Как завернуть dns трафик в vpn?

    @krosh
    У iptables есть действие REDIRECT, но оно работает только локально. Других способов изменить трафик у него нет, это маршрутизация и Вам нужно изучить работу iproute2.

    Можно попробовать SNAT применять к трафику 53/udp, чтобы далее пакеты шли уже по новому маршруту. Но тут надо тестировать, может и не сработает.

    Простой вариант: заблокировать проходящий трафик в цепочке FORWARD 53/udp, 53/tcp и поставить локально что-то вроде dnsmasq, и все запросы локальной сети им обрабатывать, а его настроить на работу через vpn.

    Чтобы трафик до DNS-сервера с роутера шел через нужный интерфейс, нужно либо прописать статический маршрут, либо пользоваться source policy routing.

    Но статический маршрут должен хорошо в вашем случае работать. Например так:
    ip route add 8.8.8.8 dev tun+

    Логично предположить, что если клиенты локальной сети пользуются одним известным DNS-сервером и не будут его сами менять, то статический маршрут на роутере решит Вашу проблему.
    Ответ написан
  • Повторы правил брандмауэра?

    @krosh
    Нужно посмотреть в свойствах каждого правила, возможно там разные протоколы указаны, разные области действия или программы.

    На моем Вин10 одно подобное правило.
    Ответ написан
  • Как с помощью брендмауэра Winows разрешить программе сетевой обмен только с 1 IP по определенному порту?

    @krosh
    Панель управления\Система и безопасность\Администрирование\Брандмауэр Windows в режиме повышенной безопасности

    Создать правило для входящих соединений. Выбирайте для программы или для порта. Свойства - вкладка Область, там пропишите нужный адрес.

    Или для исходящих соединений создавайте правило. Из Вашего вопроса не ясно точно, про что речь.
    Ответ написан
  • Роутер на Windows, нужно ли сетевое экранирование внутренней сети?

    @krosh
    1. Нецелесообразно. Проще по всем параметрам (железо, лицензии, поддержка) сделать роутер linux-box. Мануалов полно в сети по этому вопросу, дел там не много, любой админ справится. Есть и специальные дистрибутивы с веб-консолью, управлять будет не сложней виндовса. а уязвимостей много меньше чем с виндовс сервером.

    2. Необходимо. Периметр сети сейчас сильно размыт и даже не только вирус может быть угрозой во внутренней сети, но и сам пользователь или тот, кто им прикидывается. Все, что пользователям не нужно, нужно закрывать файерволлом или отключать.
    Ответ написан
  • Проблемы с медком и iptables?

    @krosh
    Вопрос в том, откуда куда должен идти трафик? Из локальной сети на mail.shf.com.ua? или из интернета локально на шлюз?

    Фильтрация в таблице nat не рекомендуется:

    $ip -t nat -A POSTROUTING -d mail.shf.com.ua -o $EXTERNAL_IF -p tcp -m multiport --dports 80,443,465,993,995 -j MASQUERADE


    Рекомендую заменить на:

    -t nat -A POSTROUTING -j MASQUERADE
    -P FORWARD DROP
    -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A FORWARD -i $LOCAL_IF -o $EXTERNAL_IF -s $LOCAL_NET -d mail.shf.com.ua  -p tcp -m multiport --dports 80,443,465,993,995  -m comment --comment "РАЗРЕШЕНО ИСХ Почтовые протоколы + http/s" -j ACCEPT


    Если трафик идет на шлюз, а не транзитный, то смотрите процесс на порту:
    netstat -antp |grep 465

    У Вас в правилах бардак. Надо бы сначала из причесать, а уже потом разбираться. Скорей всего из-за этого что-то и не работает. А бардак просто от незнания.

    Почему используете MASQUERADE, а не SNAT? Внешний адрес динамический?

    Проблема таких скриптов, в том, что не ясно какой набор правил будет в итоге. А если работа скрипта прервется на полпути? Где очистка цепочек перед загрузкой новых правил? Политики по умолчанию? Используйте iptables-save, iptables-restore. Либо генерируйте сценарием файл с правилами, а грузите есть через iptables-restore.

    Нужно хотя бы iptables -L --line-numbers показать, чтобы фактическое состояние смотреть, а не то, что в скрипте прописано.

    Хотите разобраться? Сохраните все правила и очистите все цепочки и начинайте настройку именно с открытия нужных портов и маскарадинга трафика. Потом усложняйте правила.

    В блоке #cam уж используйте multiport, они же есть в других правилах ниже.

    80 порт Вы редиректите на прокси, а 443/https маскарадите. Будьте последовательны в своих намерениях. Либо пользуйте прокси на все порты, либо используйте НАТ/маскардинг для всего трафика.
    Ответ написан