forum.opennet.ru - "firewall ipip " (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"firewall ipip "

Форум Информационная безопасность (Обнаружение и предотвращение атак / Другая система)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"firewall ipip "	+/–
Сообщение от pingru (ok) on 08-Июл-11, 19:34
Добрый день ! Вообщем что имеем 1 модем Zyxel P660HWT2EE паблик стат адрес на лане прописана подсеть 2 роутер wrt54gl (на openwrt) поднят ip over ip туннель (спец-ия если верить /etc/protocols протокол будет 94) Вообщем встроенный фаервол на модеме был отключен т.к. с включенным wrt'шка ipip туннель поднимать не хочет в логах на модеме от wrt при включенном файерволе никаких запросов нет но как только выключаешь файервол все чудно работает. Что же мне такое нужно добавить чтобы все заработало с включенным файерволом на модеме это обязательное условие т.к. в этой подсети выделенной провайдером подключенно еще одно устройство по мимо модема которому необходимо обеспечить безопасность (но сним таки проблем не возникает) а вот wrt работать не желает. Я прошу помощи ребят, помогите пожалуйста !
Ответить \| Правка \| Cообщить модератору

Оглавление

firewall ipip , pingru, 19:45 , 08-Июл-11, (1)

firewall ipip , михалыч, 14:34 , 10-Июл-11, (2)

firewall ipip , pingru, 12:46 , 11-Июл-11, (3)

firewall ipip , михалыч, 12:55 , 12-Июл-11, (4)

firewall ipip , pingru, 09:53 , 20-Июл-11, (5)

firewall ipip , михалыч, 14:01 , 21-Июл-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "firewall ipip " +/–

Сообщение от pingru (ok) on 08-Июл-11, 19:45

>[оверквотинг удален]
> Вообщем встроенный фаервол на модеме был отключен т.к. с включенным wrt'шка ipip
> туннель поднимать не хочет в логах на модеме от wrt
> при включенном файерволе никаких запросов нет но как только выключаешь файервол
> все чудно работает.
> Что же мне такое нужно добавить чтобы все заработало с включенным файерволом
> на модеме это обязательное условие т.к. в этой подсети выделенной провайдером
> подключенно еще одно устройство по мимо модема которому  необходимо обеспечить
> безопасность (но сним таки проблем не возникает) а вот wrt работать
> не желает.
> Я прошу помощи ребят, помогите пожалуйста !
(До этого момента опять же повторюсь firewal на zyxele был отключен и не так давно на него пошли атаки: увеличилось временные задержки с 36мс до 4000 мс, увеличилась загрузка проца на модеме ну и как следствие он периодически падал в даун соответственно это и разрывало ipip туннель) конфиг firewallа на wrt:
----------------------------------------------------------------------
#!/bin/sh
# Copyright (C) 2006 OpenWrt.org
iptables -F input_rule
iptables -F output_rule
iptables -F forwarding_rule
iptables -t nat -F prerouting_rule
iptables -t nat -F postrouting_rule
# The following chains are for traffic directed at the IP of the
# WAN interface
iptables -F input_wan
iptables -F forwarding_wan
iptables -t nat -F prerouting_wan
### Open port to WAN
## -- This allows port 22 to be answered by (dropbear on) the router
iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT
iptables        -A input_wan      -p tcp --dport 22 -j ACCEPT
### Port forwarding
## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2
# iptables -t nat -A prerouting_wan -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80
# iptables        -A forwarding_wan -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT
### DMZ
## -- Connections to ports not handled above will be forwarded to 192.168.1.2
# iptables -t nat -A prerouting_wan -j DNAT --to 192.168.1.2
# iptables        -A forwarding_wan -d 192.168.1.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
---------------------------------------------------------------------------------------

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "firewall ipip " +/–

Сообщение от михалыч (ok) on 10-Июл-11, 14:34

>[оверквотинг удален]
> # iptables        -A forwarding_wan -p
> tcp --dport 80 -d 192.168.1.2 -j ACCEPT
> ### DMZ
> ## -- Connections to ports not handled above will be forwarded to
> 192.168.1.2
> # iptables -t nat -A prerouting_wan -j DNAT --to 192.168.1.2
> # iptables        -A forwarding_wan -d
> 192.168.1.2 -j ACCEPT
> iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
> ---------------------------------------------------------------------------------------
А нат на зукселе случайно не включен?
Фаер там, на модеме, ну простой как три рубля..
Конфиг фаервола модема зукселя покажите что-ли..

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "firewall ipip " +/–

Сообщение от pingru (ok) on 11-Июл-11, 12:46

NAT отключен
конфиг файервола zyxel :
194.150.140.10 -- удаленный vpn сервер
внешний ip прописаный на wan zyxel ---90.188.70.10 маска 255.255.255.0
подсеть прописанная на lan zyxel -- 212.94.170.113 маска 255.255.255.248
wan wrt54gl -- 212.94.170.114 маска 255.255.255.248 gw 212.94.170.113
Anti Probing -- LAN
firewall rule
WAN to WAN
1. Source -- 194.150.140.10   Destination -- Any    Service any (ICMP), any(All), HTTP(TCP:80), TELNET (TCP:23)    Action -- Permit
2. Source -- Any   Destination -- Any    Service any (ICMP), any(All), any(UDP), any(TCP).    Action -- Drop
WAN to LAN
1. Source -- 194.150.140.10   Destination -- Any    Service any (ICMP), any(All), any(UDP), any(TCP).   Action -- Permit
2. Source -- Any   Destination -- Any    Service any (ICMP), any(All), any(UDP), any(TCP).    Action -- Drop
LAN to WAN
1. Source -- Any   Destination -- 194.150.140.10   Service any (ICMP), any(All), any(UDP), any(TCP).   Action -- Permit
2. Source -- 212.94.170.114  Destination -- Any    Service any (ICMP), any(UDP), any(TCP).   Action -- Permit
3. Source -- Any   Destination -- Any    Service any (ICMP), any(All), any(UDP), any(TCP).    Action -- Drop
LAN to LAN
ПРАВИЛ НЕТ
вот как бы и все. -( Сам думаю что все же нужно что-то добавить в Available Services где находится перечень портов

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "firewall ipip " +/–

Сообщение от михалыч (ok) on 12-Июл-11, 12:55

>[оверквотинг удален]
> any (ICMP), any(All), any(UDP), any(TCP).   Action -- Permit
> 2. Source -- 212.94.170.114  Destination -- Any    Service
> any (ICMP), any(UDP), any(TCP).   Action -- Permit
> 3. Source -- Any   Destination -- Any
> Service any (ICMP), any(All), any(UDP), any(TCP).    Action --
> Drop
> LAN to LAN
> ПРАВИЛ НЕТ
> вот как бы и все. -( Сам думаю что все же нужно
> что-то добавить в Available Services где находится перечень портов
Для пробы, попробуйте сдвинуть существующую строку 2 на 3 и
добавить в WAN to LAN 2-ю строку, то есть, чтобы получилось типа
2. Source -- Any   Destination -- 212.94.170.114    Service any(All).   Action -- Permit
3. Source -- Any   Destination -- Any    Service any(All).    Action -- Drop
Если заработает, то заменить во 2-й строке Any на IP адрес вашего ipip туннеля

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "firewall ipip " +/–

Сообщение от pingru (ok) on 20-Июл-11, 09:53

>[оверквотинг удален]
>> вот как бы и все. -( Сам думаю что все же нужно
>> что-то добавить в Available Services где находится перечень портов
> Для пробы, попробуйте сдвинуть существующую строку 2 на 3 и
> добавить в WAN to LAN 2-ю строку, то есть, чтобы получилось типа
> 2. Source -- Any   Destination -- 212.94.170.114
> Service any(All).   Action -- Permit
> 3. Source -- Any   Destination -- Any
> Service any(All).    Action -- Drop
> Если заработает, то заменить во 2-й строке Any на IP адрес вашего
> ipip туннеля
Не ни работает (

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "firewall ipip " +/–

Сообщение от михалыч (ok) on 21-Июл-11, 14:01

>[оверквотинг удален]
>>> что-то добавить в Available Services где находится перечень портов
>> Для пробы, попробуйте сдвинуть существующую строку 2 на 3 и
>> добавить в WAN to LAN 2-ю строку, то есть, чтобы получилось типа
>> 2. Source -- Any   Destination -- 212.94.170.114
>> Service any(All).   Action -- Permit
>> 3. Source -- Any   Destination -- Any
>> Service any(All).    Action -- Drop
>> Если заработает, то заменить во 2-й строке Any на IP адрес вашего
>> ipip туннеля
> Не ни работает (
Ну тогда все просто - нужно удалить ВСЕ правила
в WAN-WAN, LAN-LAN, LAN-WAN, WAN-LAN,
Добавлять прежние правила по одному,
смотреть после которого из них перестает работать туннель
и, соответственно, перед этим правилом, после которого не работает,
добавить необходимое разрешающее правило для работы туннеля.
Метод научного тыка ))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "firewall ipip "	+/–
Сообщение от pingru (ok) on 08-Июл-11, 19:45
>[оверквотинг удален] > Вообщем встроенный фаервол на модеме был отключен т.к. с включенным wrt'шка ipip > туннель поднимать не хочет в логах на модеме от wrt > при включенном файерволе никаких запросов нет но как только выключаешь файервол > все чудно работает. > Что же мне такое нужно добавить чтобы все заработало с включенным файерволом > на модеме это обязательное условие т.к. в этой подсети выделенной провайдером > подключенно еще одно устройство по мимо модема которому необходимо обеспечить > безопасность (но сним таки проблем не возникает) а вот wrt работать > не желает. > Я прошу помощи ребят, помогите пожалуйста ! (До этого момента опять же повторюсь firewal на zyxele был отключен и не так давно на него пошли атаки: увеличилось временные задержки с 36мс до 4000 мс, увеличилась загрузка проца на модеме ну и как следствие он периодически падал в даун соответственно это и разрывало ipip туннель) конфиг firewallа на wrt: ---------------------------------------------------------------------- #!/bin/sh # Copyright (C) 2006 OpenWrt.org iptables -F input_rule iptables -F output_rule iptables -F forwarding_rule iptables -t nat -F prerouting_rule iptables -t nat -F postrouting_rule # The following chains are for traffic directed at the IP of the # WAN interface iptables -F input_wan iptables -F forwarding_wan iptables -t nat -F prerouting_wan ### Open port to WAN ## -- This allows port 22 to be answered by (dropbear on) the router iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT iptables -A input_wan -p tcp --dport 22 -j ACCEPT ### Port forwarding ## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2 # iptables -t nat -A prerouting_wan -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80 # iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT ### DMZ ## -- Connections to ports not handled above will be forwarded to 192.168.1.2 # iptables -t nat -A prerouting_wan -j DNAT --to 192.168.1.2 # iptables -A forwarding_wan -d 192.168.1.2 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT ---------------------------------------------------------------------------------------
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "firewall ipip "	+/–
	Сообщение от михалыч (ok) on 10-Июл-11, 14:34
	>[оверквотинг удален] > # iptables -A forwarding_wan -p > tcp --dport 80 -d 192.168.1.2 -j ACCEPT > ### DMZ > ## -- Connections to ports not handled above will be forwarded to > 192.168.1.2 > # iptables -t nat -A prerouting_wan -j DNAT --to 192.168.1.2 > # iptables -A forwarding_wan -d > 192.168.1.2 -j ACCEPT > iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT > --------------------------------------------------------------------------------------- А нат на зукселе случайно не включен? Фаер там, на модеме, ну простой как три рубля.. Конфиг фаервола модема зукселя покажите что-ли..
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "firewall ipip "	+/–
	Сообщение от pingru (ok) on 11-Июл-11, 12:46
	NAT отключен конфиг файервола zyxel : 194.150.140.10 -- удаленный vpn сервер внешний ip прописаный на wan zyxel ---90.188.70.10 маска 255.255.255.0 подсеть прописанная на lan zyxel -- 212.94.170.113 маска 255.255.255.248 wan wrt54gl -- 212.94.170.114 маска 255.255.255.248 gw 212.94.170.113 Anti Probing -- LAN firewall rule WAN to WAN 1. Source -- 194.150.140.10 Destination -- Any Service any (ICMP), any(All), HTTP(TCP:80), TELNET (TCP:23) Action -- Permit 2. Source -- Any Destination -- Any Service any (ICMP), any(All), any(UDP), any(TCP). Action -- Drop WAN to LAN 1. Source -- 194.150.140.10 Destination -- Any Service any (ICMP), any(All), any(UDP), any(TCP). Action -- Permit 2. Source -- Any Destination -- Any Service any (ICMP), any(All), any(UDP), any(TCP). Action -- Drop LAN to WAN 1. Source -- Any Destination -- 194.150.140.10 Service any (ICMP), any(All), any(UDP), any(TCP). Action -- Permit 2. Source -- 212.94.170.114 Destination -- Any Service any (ICMP), any(UDP), any(TCP). Action -- Permit 3. Source -- Any Destination -- Any Service any (ICMP), any(All), any(UDP), any(TCP). Action -- Drop LAN to LAN ПРАВИЛ НЕТ вот как бы и все. -( Сам думаю что все же нужно что-то добавить в Available Services где находится перечень портов
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "firewall ipip "	+/–
	Сообщение от михалыч (ok) on 12-Июл-11, 12:55
	>[оверквотинг удален] > any (ICMP), any(All), any(UDP), any(TCP). Action -- Permit > 2. Source -- 212.94.170.114 Destination -- Any Service > any (ICMP), any(UDP), any(TCP). Action -- Permit > 3. Source -- Any Destination -- Any > Service any (ICMP), any(All), any(UDP), any(TCP). Action -- > Drop > LAN to LAN > ПРАВИЛ НЕТ > вот как бы и все. -( Сам думаю что все же нужно > что-то добавить в Available Services где находится перечень портов Для пробы, попробуйте сдвинуть существующую строку 2 на 3 и добавить в WAN to LAN 2-ю строку, то есть, чтобы получилось типа 2. Source -- Any Destination -- 212.94.170.114 Service any(All). Action -- Permit 3. Source -- Any Destination -- Any Service any(All). Action -- Drop Если заработает, то заменить во 2-й строке Any на IP адрес вашего ipip туннеля
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "firewall ipip "	+/–
	Сообщение от pingru (ok) on 20-Июл-11, 09:53
	>[оверквотинг удален] >> вот как бы и все. -( Сам думаю что все же нужно >> что-то добавить в Available Services где находится перечень портов > Для пробы, попробуйте сдвинуть существующую строку 2 на 3 и > добавить в WAN to LAN 2-ю строку, то есть, чтобы получилось типа > 2. Source -- Any Destination -- 212.94.170.114 > Service any(All). Action -- Permit > 3. Source -- Any Destination -- Any > Service any(All). Action -- Drop > Если заработает, то заменить во 2-й строке Any на IP адрес вашего > ipip туннеля Не ни работает (
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "firewall ipip "	+/–
	Сообщение от михалыч (ok) on 21-Июл-11, 14:01
	>[оверквотинг удален] >>> что-то добавить в Available Services где находится перечень портов >> Для пробы, попробуйте сдвинуть существующую строку 2 на 3 и >> добавить в WAN to LAN 2-ю строку, то есть, чтобы получилось типа >> 2. Source -- Any Destination -- 212.94.170.114 >> Service any(All). Action -- Permit >> 3. Source -- Any Destination -- Any >> Service any(All). Action -- Drop >> Если заработает, то заменить во 2-й строке Any на IP адрес вашего >> ipip туннеля > Не ни работает ( Ну тогда все просто - нужно удалить ВСЕ правила в WAN-WAN, LAN-LAN, LAN-WAN, WAN-LAN, Добавлять прежние правила по одному, смотреть после которого из них перестает работать туннель и, соответственно, перед этим правилом, после которого не работает, добавить необходимое разрешающее правило для работы туннеля. Метод научного тыка ))
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору