Jump to content

Search the Community

Showing results for tags 'firewall'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 25 results

  1. Необходимо реализовать следующую схему. На роутере в "Другие подключения" подключен VPN. В "Маршрутизации" создан Статический маршрут для определенного IP (узел в интернете), чтоб он работал через этот VPN. Это всё работает прекрасно. Из домашней сети можно обращаться к узлу через VPN. При отключении VPN доступ к этому узлу сразу начинает проходить через WAN соединение провайдера, т.е. напрямую. Задача: запретить прямое прохождение трафика к узлу при разрыве VPN соединения. Но чтобы при активном VPN соединении этот трафик шел через него. Если создать запрещающее правило в Межсетевом экране для узла на интерфейсе Домашняя сеть. То доступ к узлу перекрывается полностью. В том числе и через VPN. Если создать то же правило на интерфейсе провайдера, оно не работает как нужно. Трафик из Домашней сети проходит напрямую к узлу. Потому-что Межсетевой экран в веб-интерфейсе может блокировать только входящие соединения. И есть приоритет NAT. Т.е. запрос к узлу спокойно проходит через NAT и выходит по каналу провайдера. Вопрос. Как запретить исходящий трафик через интерфейс провайдера к этому узлу, но при этом, чтобы он спокойно проходил через VPN когда он подключен?
  2. Сейчас тупо по ip-адресам все нужно смотреть. Если правило одно-два, то нет проблем. Когда их пару десятков - это уже жесть. Поле "описание" есть в разделе переадресации портов, добавьте и сюда, пожалуйста.
  3. Добрый день, помогите пожалуйста с такой ситуацией: есть два keenetic dsl на прошивке 2.11.D.4.0-0 согласно статье настроена связь через ipsec между подсетями двух кинетиков все - ок, есть пинги как с кинетиков в обе стороны, так и устройств в подсетях но мне нужно чтобы было только связь между подсетями, а интернета ни у кого не было - поэтому ставлю галку "Запретить доступ в интернет незарегистрированным устройствам" после чего ничего не пингуется даже при активном туннеле, настраиваю правила межсетевого экрана для сервера разрешаю для интерфейса home все входящие с подсети 192.168.2.0/24 в подсеть 192.168.1.0/24 по протоколу IP для клиента разрешаю для интерфейса home все входящие с подсети 192.168.1.0/24 в подсеть 192.168.2.0/24 по протоколу IP теперь я могу пинговать и заходить в веб интерфейс с одного роутера на другой в любом направлении, но устройства из подсетей за роутерами друга друга не видят (с компьютеров в подсетях вижу только "свой" ближайший роутер, который прописан как шлюз и ничего за ним) файрволы устройств в подсетях клиента и сервера отключены \ настроены на прием всего с соотв. подсетей подскажите что нужно еще настроить чтобы при включенной настройке "Запретить доступ в интернет незарегистрированным устройствам" подсети видели друг друга или как по другому решить проблему с закрытием доступа в интернет? заранее спасибо
  4. Думаю, было бы неплохо добавить списки адресов для межсетевого экрана, чтобы одно правило действовало не максимум на подсеть, а на список подсетей и адресов. В linux такую функциональность обеспечивает IPSet.
  5. Сейчас в кинетике реализован урезанный acl в части ipv6 доступно управление(открытие) только для tcp/udp транзитного трафика(клиентов) Предлагаю реализовать acl сопоставимый по возможностям с тем что сейчас присутствует для v4 Более широкий спектр IP протоколов, Не только клиенты, но и сам роутер. Короче, полноценный ipv6 firewall
  6. Добрый день, @Le ecureuil Так как на 3.0 IPv6 адреса выдаются в том числе и vpn клиентам, то не плохо бы распространить действие команды ipv6 static по открытию v6 портов в том числе и на клиентов vpn соединений кинетика. ЗЫ Ну и допилить открытие локальных v6 портов на сам кинетик тоже ждем
  7. @Le ecureuil @ndm Добрый день, перелагаю активировать возможность подключения к встроенным серверам по IPv6 Даешь DualStack сервера ЗЫ судя по выхлопу ipsec уже даже слушает ipv6 но в firewall не открыт, а открывалка для встроенных сервисов пока в cli не реализовала. Status of IKE charon daemon (strongSwan 5.7.2, Linux 4.9-ndm-0, mips): uptime: 93 seconds, since Apr 06 20:11:41 2019 malloc: sbrk 159744, mmap 0, used 121296, free 38448 worker threads: 4 of 9 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 129.173.49.242 2a02:2168:a3b:5770::1 192.168.1.9 10.1.30.9
  8. дано ultra 2, прошивка 2.13C. к роутеру разрешен доступ только с 2х внешних ip, + в фаерволе прописано запрещающее правило на порт 8888, при этом с постороннего ip на этот порт свободно можно попасть. (см скриншоты). вопрос: как так?
  9. Коллеги, пытаюсь написать несколько правил, но что-то не работает. 1. есть сетка VPN и Домашняя сетка. 2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут 3. пробую вешать правило запрета на Домашнюю сетку тоже ходит. недопонимаю логику работы. цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP
  10. После очередного обновления прошивки не могу добавить правило в межсетевой экран. Система требует не принимает ip адрес. Странное в том что у меня уже есть аналогичное правило и система позволяет его открыть и посмотреть, и не выдает ошибок. Существующее правило без ошибок Оно же в конфиге: permit icmp 192.168.1.100 255.255.255.255 172.16.1.0 255.255.255.240 Пытаюсь добавить аналогичное правило для другого внутреннего ip (.101). Скрин с ошибкой. Подскажите, что я делаю не так или это ошибка в web интерфейсе. Версия NDMS 2.13.C.0.0-1 Keenetic Giga II
  11. Нужно поле "описание" для правил firewall'a. Очень неудобно спустя месяц-другой вспоминать, а что это за ip адреса забиты. Сейчас вспоминаю все через nslookup, но хотелось бы просто иметь возможность писать комментарии к своим правилам. К слову, для вкладки NAT есть такая возможность.
  12. День добрый, Дома стоит Keenetic Extra II После обновления прошивки с версии 2.10 на 2.11 перестал работать проброс порта ssh. Подскажите, - что-то изменилось? Настройки NAT и Firewall не менялись, но ноутбук стоящий за роутером через ssh более не доступен. в NAT настроено правило на трансляцию конкретного порта с роутера на конкретный порт устройства в Firewall прописан маршрут туда и обратно по портам в сеть роутера
  13. Прошу добавить возможность блокировать некоторые сайты по доменному имени в межсетевом экране. Так будет гораздо лучше для всех.
  14. Все перерыл, не могу найти, где включается эта опция? Чтобы писалось и при срабатывании своих правил, и тех что заданы по умолчанию.
  15. Приветствую, Настраиваю Keenetic Ultra 2.11.A.8.0-5. Хочу изолировать гостевую сеть от домашней. Есть 3 сети: Home 192.168.1.0/28 Guest 192.168.2.0/28 L2TP 192.168.3.0/28 (не рассматриваем) Настройки сетевого экрана: Home только deny (Откуда -> куда -> протокол) 192.168.2.0/28 -> any -> TCP any -> 192.168.2.0 -> TCP аналогично UDP, ICMP, IP Guest только deny (Откуда -> куда -> протокол) 192.168.1.0/28 -> any -> TCP any -> 192.168.1.0 -> TCP аналогично UDP, ICMP, IP Подключаюсь к гостевой сети по Wi-Fi, веб-морда роутера не открывается (ok), но вот samba работает прекрасно (плохо): Откуда там взялся " TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED"?! Как оставить samba только для домашней сети?
  16. Доброго дня! Не хватает одной мелочи при создании правил сетевого экрана. Хочется иметь возможность добавлять комментарии к правилам. Например, разрешил подключение с какого-то адреса, добавил комментарий и сразу понятно, что это за адрес. А так забывается. А если правил много, то совсем тяжко без таких комментариев-подсказок. Так же комментарии могут быть полезны в правилах NAT. А за возможность выключать правила огромная благодарность!
  17. По мотивам этой темы . На мой взгляд, запрещение/разрешение диапазона портов не должно быть таким сложным. Может быть следует сделать что-то вроде этого: permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 4015-6070 и то же самое в WEB-интерфейсе?
  18. Добрый день! Я - системный администратор и очень активно использую протокол IPv6 в работе. Провайдер OnLime, который предоставляет нативный IPv6 через RA. Испытываю проблемы с устройством ZyXEL Keenetic Ultra II, т.к. ни в веб-интерфейсе ни в CLI не получается настроить ни кастомные роуты ни файрволл для IPv6 адресов. Веб-интерфейс требует IP адреса с точкой, т.е. IPv6 просто не принимает, а CLI просто говорит об ошибке. Подскажите, пожалуйста, это у меня руки кривые или действительно функциональность роутера ограничена в районе IPv6? Спасибо. P.S. Прошивка v2.06(AAUX.8)B0 UPD. Прошился бетой 2.07, ситуация не изменилась.
  19. Keenetic II (2.10.A.5.0-7) На свою голову, заглянул в журнал. А там!...мама роди меня обратно. Что и как, сам не осиливаю понять. Помогите, кто в курсе, а то сталкивался с таким. В общем, что-то/кто-то, безудержно "любит" мой роутер. То и дело, роутер банит различные ip, которые домогаются 23-й порт (telnet), круглосуточно. Как давно, трудно сказать. Думал прошивка новая, потом одумался грешить на неё. На 2.09 видел тоже самое. Да и с год назад, на 2.06, но тогда или не придал значения, да и проблема исчезала, какое-то время, любовался чистым журналом. А сейчас зацепился, спать не могу, зная, что кто-то "теребонькает" мой роутер. Порты открыты/закрыты. Все одно. Когда убрал из правил (закрыл), доступ к этому порту, на время пропали строчки с попыткой залогиниться "admin", "shell", "sh"...а потом все равно полезли.
  20. В Web- интерфейсе http://192.168.1.1/#security.acl хорошо бы правила пронумеровать, иначе приходится считать в какую позицию вставлять новое правило. Если их более 10 то совсем уже трудно становится, приходится его потом двигать, а каждое продвижение - это запись конфига. При выборе маски сети всё-же можно отображать в 2-х вариантах, например вот так 255.255.0.0 (/16)
  21. Столкнулся с проблемой: игнорируются правила МСЭ на интерфейсах WifiMaster0/WifiStation0 и CdcEthernet0. Цель: разрешить tcp, udp для одного ip и заблокировать все остальные ip. Несмотря на последние записи в access-list соответствующего интерфейса deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 пакеты уходят в любые направления. Роутер, конечно, перезагружал. Год назад такое проделывал с UsbModem0 - все работало. Giga II и Omni II, 2.09.A.6.0-0
  22. Надо было сегодня пробросить порты на 15 камер. Вот сидел и 15 раз вводил правила, отличающиеся друг от друга двумя цифрами. А так нажимал бы кнопку "Скопировать", подправлял пару цифр и нажимал "Сохранить", и было бы здорово!
  23. По ходу своей работы столкнулся с такой жутко неудобной проблемой: Настраиваю правила трансляции портов на NAT или правила блокировке firewall. Обычно это не одно правило, например RDP на несколько машин и еще пара портов проброа для временного/постоянного доступа, а так же firewall правила - до двух десятков бывает. Но вот незадача, если надо временно выключить доступ ко внутренним портам (бывает что на задачу 2-3 правила) то не кнопки выключить правило, его можно только банально "грохнуть"! Но мне в 80% случаев через какое-то время опять нужно включить правила и приходиться его создавать с нуля! Ну надо например на час два RDP закрыть, а потом открыть. А иногда порты-то по памяти и не вспомнишь! Так к чему я, на многих железках есть помимо удалить и вверх вниз приоритет поднять, кнопка выключить обработку правила, чтобы потом при необходимости его просто включить, а не создавать заново! А firewall если из десятка правил тестируешь... проще выключить и посмотреть как без правила работать, чем после удаления сказать - "Нет, давай ка назад и создавать правило заново!" Это ж время убивается и жесть как неудобно! На многих D-Link, NetGear, да чего далеко ходить, юзаю USG 40W и там все прекрасно есть... и куча правил... и часто половина выключены, а когда они нужны, я их просто включаю, заметьте, просто включаю, а не вспоминаю с мукой, что надо и не создаю заново! Пускай сделают напротив правило еще колонку, а там (как многие обычно делают) иконка лампочки, либо горит, либо нет. На худой конец галочки хватит! Заранее всем благодарен!
  24. После установки samba, как было предложено в этом посте и открытия в фаерволле 137-139,445 портов ресурс доступен из сети, однако при входе с виндовых клиентов очень надолго подвисает при отображении имеющихся на нем шар (чего не наблюдается при входе с того же андроид-смартфона) в сами шары входит мгновенно. Если последнее правило фаерволла для всех оставшихся tcp пакетов делаю разрешающим, то шары из под винды начинают отображаться тик же быстро.. На основании вышеизложенного прошу помочь с настройкой фаерволла.
  25. Уважаемые разрабы! Наверное этот вопрос набил уже оскомину, но тем не мене, ну почему нельзя во встроенный фаервол сделать функцию настройки правил не по конкретному ip-адресу, а по, скажем, целому домену? Ну, скажем *miсrosoft.com? Для простого юзверя, типа меня, гораздо ж проще вбить домен, чем выяснять конкретные ip адреса Чего не развить нормальный фаервол "из коробки"? Политика партии или технические сложности (в чём я сомневаюсь)? ЗЫ, знаю знаю про всякие там skydns и прочие подобные платные сервисы... ЗЫЫ, ребят, не судите строго
×
×
  • Create New...