Sono ancora abbastanza nuovo per il networking, e sto avendo un po 'di problemi ad afferrare alcuni concetti delle corrette regole del firewall che devo implementare per la configurazione desiderata. Sto configurando un router con OpenWRT e OpenVPN per instradare il traffico in entrata attraverso il mio provider VPN (proxy.sh). Ho in gran parte regolato le cose adattandomi da queste due guide:
blog.ipredator.se/howto/openwrt/configuring-openvpn-on-openwrt.html tokyobreeze.wordpress.com/2015/01/15/install-openvpn-in-a-router-with-4mb-flash /
Una cosa che ho difficoltà a capire sono le regole del firewall LuCI di OpenWRT. L'idea di base è che tutto il traffico proveniente dalla porta LAN viene inoltrato all'interfaccia VPN e i pacchetti sono mascherati dietro l'interfaccia VPN. Se la VPN si disconnette, il traffico viene interrotto e nessun IP viene trapelato. Dove queste guide differiscono in una, la porta WAN (che si connette al web) è impostata sulle sue normali impostazioni con input rifiutato e masquerading on (vedi immagine sotto)
Mentrel'altraguidainvecedisattivailmasqueradingsullaportaWANeconsentel'input(vediimmaginesotto).
Entrambe le configurazioni funzionano per me (e superano tutti i test su ipleak.net) ma mi piacerebbe capire meglio cosa sta succedendo e assicurarmi di essere sicuro. Quindi qualcuno può spiegare / aiutarmi a capire ...
- Se e perché un approccio è migliore o più sicuro dell'altro?
- Queste regole / come funziona il routing dei pacchetti? Non penso di capire bene cosa sta succedendo. Ad esempio, non capisco perché se il masquerading è disattivato sull'interfaccia WAN, l'input deve essere consentito sull'interfaccia WAN (ho controllato questa configurazione e ineed non funziona a meno che l'input WAN sia consentito). La spiegazione fornita dall'autore è troppo breve e non ha senso per me. La mia comprensione (che è probabilmente errata) di input non consentita è che l'interfaccia accetta solo pacchetti che ritornano da una richiesta in uscita e non pacchetti da una nuova connessione (di nuovo nuovo per il networking qui). Quindi, se un pacchetto viene inviato tramite l'interfaccia VPN (con il masquerading WAN disattivato), perché il suo pacchetto di ritorno viene respinto dall'interfaccia WAN se l'input WAN non è consentito? Non sarebbe una risposta come qualsiasi altra?