Informazioni su OpenWRT LuCI Firewall Routing con VPN

Naviga le tue risposte
6

Sono ancora abbastanza nuovo per il networking, e sto avendo un po 'di problemi ad afferrare alcuni concetti delle corrette regole del firewall che devo implementare per la configurazione desiderata. Sto configurando un router con OpenWRT e OpenVPN per instradare il traffico in entrata attraverso il mio provider VPN (proxy.sh). Ho in gran parte regolato le cose adattandomi da queste due guide:

blog.ipredator.se/howto/openwrt/configuring-openvpn-on-openwrt.html tokyobreeze.wordpress.com/2015/01/15/install-openvpn-in-a-router-with-4mb-flash /

Una cosa che ho difficoltà a capire sono le regole del firewall LuCI di OpenWRT. L'idea di base è che tutto il traffico proveniente dalla porta LAN viene inoltrato all'interfaccia VPN e i pacchetti sono mascherati dietro l'interfaccia VPN. Se la VPN si disconnette, il traffico viene interrotto e nessun IP viene trapelato. Dove queste guide differiscono in una, la porta WAN (che si connette al web) è impostata sulle sue normali impostazioni con input rifiutato e masquerading on (vedi immagine sotto)

Mentrel'altraguidainvecedisattivailmasqueradingsullaportaWANeconsentel'input(vediimmaginesotto).

Entrambe le configurazioni funzionano per me (e superano tutti i test su ipleak.net) ma mi piacerebbe capire meglio cosa sta succedendo e assicurarmi di essere sicuro. Quindi qualcuno può spiegare / aiutarmi a capire ...

  1. Se e perché un approccio è migliore o più sicuro dell'altro?
  2. Queste regole / come funziona il routing dei pacchetti? Non penso di capire bene cosa sta succedendo. Ad esempio, non capisco perché se il masquerading è disattivato sull'interfaccia WAN, l'input deve essere consentito sull'interfaccia WAN (ho controllato questa configurazione e ineed non funziona a meno che l'input WAN sia consentito). La spiegazione fornita dall'autore è troppo breve e non ha senso per me. La mia comprensione (che è probabilmente errata) di input non consentita è che l'interfaccia accetta solo pacchetti che ritornano da una richiesta in uscita e non pacchetti da una nuova connessione (di nuovo nuovo per il networking qui). Quindi, se un pacchetto viene inviato tramite l'interfaccia VPN (con il masquerading WAN disattivato), perché il suo pacchetto di ritorno viene respinto dall'interfaccia WAN se l'input WAN non è consentito? Non sarebbe una risposta come qualsiasi altra?
posta JJBrown 28.03.2015 - 09:54
fonte

1 risposta

1

Per rispondere alla domanda 1, non penso che l'impostazione sia sicura come dovrebbe essere. L'opzione 1 lascia il masq attivato per la WAN quando non è necessario. L'opzione 2 imposta una regola di accettazione predefinita per la WAN quando non è necessario.

Per rispondere alla domanda 2 e compilare gli spazi vuoti alla domanda 1: Le impostazioni delle regole di input / output in OpenWRT sono il comportamento predefinito per il traffico. È possibile aggiungere regole specifiche per deviare, ad esempio se si imposta la WAN per l'input reject (che è l'impostazione predefinita), quindi è necessario entrare e consentire specificamente che le cose accadano (come masquerading per fare NAT che è lì per impostazione predefinita, o una regola di accettazione per consentire SSH in entrata che non è lì per impostazione predefinita e quindi nessun SSH può provenire dalla WAN al router). Quando hai disattivato Masquerade e hai abbandonato la configurazione WAN per il rifiuto, non c'era modo di entrare in qualcosa che non rientrasse in una regola di autorizzazione (anche il traffico OpenVPN). Se poi si è passati alle regole del traffico del firewall e consentito specificamente il traffico OpenVPN attraverso (1194 UDP di default), funzionerebbe in modalità rifiuto. Questa è una scelta migliore poiché lasciare la WAN in accettazione significa che tutti i servizi sul router (come ssh o SMB) sono lasciati a se stessi contro il traffico in entrata (possibilmente malevolo). È buona pratica negare tutto e quindi colpire solo ciò di cui hai bisogno.

    
risposta data 28.03.2015 - 18:09
fonte

Leggi altre domande sui tag

trova se è stato sfruttato un bug flash di 0 giorni (su una macchina particolare) Snort anche se funziona correttamente non segnala la maggior parte delle regole