Jump to content
  • 0
Oleksii

Доступна samba в гостевой сети

Question

Приветствую,

Настраиваю Keenetic Ultra 2.11.A.8.0-5. Хочу изолировать гостевую сеть от домашней. Есть 3 сети:

  • Home 192.168.1.0/28
  • Guest 192.168.2.0/28
  • L2TP 192.168.3.0/28 (не рассматриваем)

Настройки сетевого экрана:

Home только deny (Откуда -> куда -> протокол)

  • 192.168.2.0/28 -> any -> TCP
  • any -> 192.168.2.0 -> TCP
  • аналогично UDP, ICMP, IP
Spoiler

    deny tcp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny tcp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny udp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny udp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny icmp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny icmp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny ip 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny tcp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240
    deny udp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240
    deny icmp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240
    deny ip 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240

 

Guest только deny (Откуда -> куда -> протокол)

  • 192.168.1.0/28 -> any -> TCP
  • any -> 192.168.1.0 -> TCP
  • аналогично UDP, ICMP, IP
Spoiler

    deny tcp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240
    deny udp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240
    deny icmp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240
    deny ip 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240

 

Подключаюсь к гостевой сети по Wi-Fi, веб-морда роутера не открывается (ok), но вот samba работает прекрасно (плохо):

Spoiler

PS C:\Users> Get-NetIPConfiguration -InterfaceIndex 13
InterfaceAlias       : Беспроводная сеть
InterfaceIndex       : 13
InterfaceDescription : Intel(R) Dual Band Wireless-AC 3165
NetProfile.Name      : Guest  2
IPv4Address          : 192.168.2.13
IPv6DefaultGateway   :
IPv4DefaultGateway   : 192.168.2.1
DNSServer            : 192.168.2.1


PS C:\Users> ping 192.168.1.1
Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

PS C:\Users> netstat
Активные подключения

  Имя    Локальный адрес        Внешний адрес          Состояние
  TCP    127.0.0.1:49680        aaaaaaaa:65001         ESTABLISHED
  TCP    127.0.0.1:55257        aaaaaaaa:wsd           TIME_WAIT
  TCP    127.0.0.1:55263        aaaaaaaa:wsd           TIME_WAIT
  TCP    127.0.0.1:55264        aaaaaaaa:wsd           TIME_WAIT
  TCP    127.0.0.1:65001        aaaaaaaa:49680         ESTABLISHED
  TCP    192.168.2.13:55260     db5wns1d:https         TIME_WAIT
  TCP    192.168.2.13:55261     db5sch101100128:https  ESTABLISHED
  TCP    192.168.2.13:55262     db5wns1d:https         TIME_WAIT
  TCP    192.168.2.13:55267     db5sch101101209:https  ESTABLISHED
  TCP    192.168.2.13:55269     lh-in-f188:https       ESTABLISHED
  TCP    192.168.2.13:55270     192.168.1.1:microsoft-ds  ESTABLISHED
  TCP    [::1]:55258            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55265            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55266            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55268            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55271            aaaaaaaa:wsd           TIME_WAIT

 

Откуда там взялся " TCP    192.168.2.13:55270     192.168.1.1:microsoft-ds  ESTABLISHED"?! Как оставить samba только для домашней сети?

Share this post


Link to post
Share on other sites

6 answers to this question

Recommended Posts

  • 0

Имхо все эти правила не нужны, доступа из гостевой сети и так не должно быть если не стоит галка "Разрешить доступ к интернет-центру:" в настройках гостевого сегмента. Если не так, то похоже на баг так как в конфигурации по умолчанию из гостевой сети есть доступ только к dhcp и dns роутера,все остальное запрещено. 

зы правило для протокола ip перекрывает остальные правила

Edited by r13

Share this post


Link to post
Share on other sites
  • 0

Проверил ещё раз. Сбрасываю роутер к заводским настройкам. Делаю всего одно изменение:

  • Захожу, ставлю пароль на гостевую сеть

Убеждаюсь что галочка "разрешить доступ к интернет-центру" в сегменте снята. Подключаю второй ноутбук к гостевой сети, Samba там открывается.

  • Need more info 1

Share this post


Link to post
Share on other sites
  • 0

Чего-то ACL как-то непонятно у Вас настроен.

должно быть наверное на домашнем ACL

 

deny ip 192.168.1.0 255.255.255.240 192.168.2.0 255.255.255.240

deny ip 192.168.1.0 255.255.255.240 192.168.3.0 255.255.255.240

 

а на гостевом ACL

deny ip 192.168.2.0 255.255.255.240 192.168.1.0 255.255.255.240

deny ip 192.168.2.0 255.255.255.240 192.168.3.0 255.255.255.240

 

для l2tp

deny ip 192.168.3.0 255.255.255.240 192.168.1.0 255.255.255.240

deny ip 192.168.3.0 255.255.255.240 192.168.2.0 255.255.255.240

...и всё

Edited by MDP

Share this post


Link to post
Share on other sites
  • 0

Подтверждаю! У меня так же из гостевой есть возможность подключаться к Samba.

галочка "разрешить доступ к интернет-центру" в сегменте Guest снята.

Причем подключается через 192.168.1.1

:???:

Edited by ShadoW
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Продолжаю разбираться. Часть теоретическая

Spoiler

1. Почитав внимательно "Описание работы с межсетевым экраном", обращаю внимание на то, что правила для интерфейса при редактировании через UI будут добавляться как входящие (in), а также должны быть указаны со стороны инициатора запроса.

2. У меня установлен компонент uPnP, который может самостоятельно что-то куда-то пробросить. Удобно.

3. В гостевой сети и домашней сети включен NAT для выхода в интернет.

4. п.2 и п.3 в некотором роде создают свои правила, но могут быть уточнены через настройки МСЭ. Важно!

5.  Уровень доступа (security-level) домашней сети определен как private

6. Уровень доступа (security-level) гостевой сети определен как protected

7. Согласно картинке и сопутствующему ей тексту, доступа междк Guest, Home и сервисами роутера быть как бы не должно (если бы не uPnP/NAT, я так понимаю).

Spoiler

c7b7c091-1b81-4b18-b489-601c2f5d78d6.png

8. В конфиге установлена настройка isolate-private

Вроде с теорией всё.

Сбросили роутер к заводским настройкам. Погнали играться с работой гостевой сети. Табличка с результатами под спойлером.

Spoiler

Tests.png

Описание тестов ниже.

Spoiler

 

Вариант 1. Отключаем компонент uPnP, отключаем NAT для гостей. Доступа нет никуда, кроме Smb. :? Тут бы можно было наверное и закончить. Но идём дальше.

Вариант 2. Такая сеть наверное мало кому нужна. Добавляем ей интернет, включая NAT. Почти всё как нужно, кроме Smb.

Вариант 3. Я ленив, потому включаю снова uPnP.  Ничего в разрезе сети не поменялось, но удобства в прочих настройках прибавилось. Вариант лучше прошлого, но не идеал.

Вариант 4. Выше в п.4 смотрим, что казалось бы можно закрыть этот злосчастный сервис через МСЭ.

  • Проверяем нашу теорию. Отправляем ping 192.168.1.1 -t. Ничего не идет, в данном случае это ок
  • Пробуем работает ли firewall. Открываем МСЭ для гостевой сети. Добавляем allow - ICMP - 192.168.2.0/28 - 192.168.1.0/28. Пинг немедленно проходит, даже интерфейс не надо передёргивать. Вот он путь к успеху! Наверное.
  • Там же добавляем deny - IP - 192.168.2.0/28 - 192.168.1.0/28 в конец списка. В теории должен остаться только пинг в Home сеть после выкл/вкл гостевой сети, чтобы наверняка. В результате этот неубиенный Smb всё равно работает.
  • Проверяем ещё раз что правило firewall обрабатывается. Передвигаем правило с IP в начало списка и меняем deny - IP - 192.168.2.0/28 - any. Вот сейчас гостевая сеть должна совсем помереть. Это в теории, ха-ха. Один сервис всё-таки непотопляем таким подходом. Я не буду называть его имени.
  • Дальнейшие упражнения показывают, что правила-таки обрабатываются для прочих сервисов роутера.
  • Видимо Smb не подчинается МСЭ. Полагаю эту идею можно оставить в покое.

Вариант 5. Переводим Guest и GuestWiFi сеть из уровня protected в public; system config-save; system reboot. Доступ к сетевому диску как работал, так и работает.

 

Ребята, я не понимаю как это работает, центр поддержки молчит (или я не нашёл).

Как обуздать эту гидру, посоветуйте? Может кто рабочим конфигом поделится (без паролей конечно, для ознакомления)?

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

@Oleksii @ShadoW не знаю, кто из вас, но пришло официальное обращение через техподдержку. Поставили в работу, будем разбираться.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Исправлено в версии 2.11.A.9.0-2. Дело было в ускорителе SMB, который гонит пакеты мимо сетевого стека и нетфильтра.

  • Upvote 2

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...