RAW

[Sir_Prikol]

Добрый день.
ROS 6.48.6 long

Какое-то не совсем понятное поведение ip firewall raw

Создаю правило, указываю с каких ифейсов мониторить пакет и соответственно его дропаю, но, в то-же время пропадает доступ изнутри.

Пример, есть удалённый хост 1.1.1.1 с него дропаю вход ко мне следующим правилом

Код: Выделить всё

add action=drop chain=prerouting in-interface-list=iNET src-address-list=zz_xPORT_SCANNER

Где, in-interface-list - список интерфейсов аплинков, src-address-list - в нём находится данный IP 1.1.1.1

Но, в таком виде данный IP становится недоступним изнутри моей сети. Хотя в правиле я явно указываю дропать ТОЛЬКО со стороны интерннета.

ЧЯДНТ?

[Sir_Prikol]

UPD:

Срабатывает только после явного указания протокола и порта (tcp/udp и 21,22....) Но странно. По идее должно работать и без указания

[wan]

Но, в таком виде данный IP становится недоступним изнутри моей сети. Хотя в правиле я явно указываю дропать ТОЛЬКО со стороны интерннета.

ЧЯДНТ?

Л - логика
ну так на любой запрос от тебя все ответы дропаются в любом случае, что ты хотел то?
как ты написал далее - дропай по портам по которым ты к нему не обращаешься

[Sir_Prikol]

Читай выше, стоит in-interface-list, то-есть он должен дропать только пакетs приходящие именно с тех интерфейсов, которые указаны. А не со всех. По твоей логике, он и при указании портов должен их дропать со всех сторон, а он тогда дропает только на вход и изнутри доступны

И задача не от меня к нему попасть (это редкий случай), задача дропнуть сканирующих так, чтоб они были доступны от меня, бывает собственные внешние ресурсы туда попадают и они не всегда со статикой, иногда с динамикой.

[Chupaka]

Поавильно wan сказал, запросы из локалки к хосту не дропаются, дропаются ответы (роутер ведь в RAW не знает, это запрос, ответ или ещё что - там ведь ConnTrack ещё не работает). Вот он и дропает ответы, приходящие из Инета. Они ведь из Инета приходят, из iNET?

[Sir_Prikol]

Так я и не спорю. Но это начинает работать только тогда, когда я, в дополнении к ифейсу, указываю порт. Тогда он начинает работать правильно. когда порт не указан, дропает со всех сторон.

Но сейчас получается хост ко мне лезет по 22 порту и его дропает, а я до него попадаю так-же по 22 порту (при условии что у меня указан порт и ифейс входа). Как только я убираю порт - то ни я хост не вижу, ни он меня. Вот где косяк. Он или должен дропать все входящие, исходящие оставить, или вообще пофиг должно на интерфейс.

Ну да ладно, для меня не убудет лишний параметр прописать. Я в саппорт отписал, посмотрим что скажут. Но конструкция не совсем корректная.

Да и честно, юзать RAW, когда у тебя мощностей хоть употей - та ещё идея. Просто остались правила со старой железки и они отрабатывали. А тут не захотели. Я такое уже проходил, что правила переставали работать как надо, а после обновления всё в норму приходило

[Chupaka]

Так а что сапорт скажет, раз всё работает корректно?

Пример: подключаемся SSH'ем с машины 192.168.192.168 на 1.1.1.1.

На роутер прилетает пакет 192.168.192.168:45282 -> 1.1.1.1:22. Ни под in-interface-list=iNET, ни под src-address-list= zz_xPORT_SCANNER он не попадает, поэтому улетает к серверу. Сервер отвечает пакетом 1.1.1.1:22 -> 192.168.192.168:45282. in-interface-list=iNET и src-address-list= zz_xPORT_SCANNER - нет причины его НЕ дропнуть!

Если же в правиле добавить protocol=tcp dst-port=22 - то при попытке 1.1.1.1 достучаться к нам на SSH пакеты будут, естественно, дропаться, но если мы на сервер лезем - то в ответном пакете "1.1.1.1:22 -> 192.168.192.168:45282" значение dst-port не равно 22 (ибо 22 у нас в параметре src-port для ответных пакетов), поэтому пакет дропнут не будет.

Так понятнее?..