Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Firewall - discard propouští komunikaci
- - Od Rypi Dne 2015-10-30 19:00 Upraveno 2015-11-03 11:55
Ahoj,

po minulém problému, kdy turris pri aktualizaci rozbil firewall a bez jedine hlasky poustel veškerou komunikaci tu mám další problém...
Před nějakou dobou jsem si v dobré víře zakázal komunikaci některých zařízení s internetem a dnes jsem zjistil, že se stejně připojují na internet. Nevím, jestli se něco rozbilo, nebo to dělá celou dobu...

Ve firewallu mám něco takového:
config rule
        option src 'lan'
        option dest 'wan'
        option name 'IPCAM disable net'
        option proto 'all'
        option src_ip '10.20.30.40'
        option target 'DROP'

Pokud DROP (DISCARD v luci) zaměním za REJECT (REFUSE v luci), pak vše funguje. Jinak se vůbec nedostane do iptables!

Případně můžete mi ještě doporučit něco jednoduchého (na turris), co by sledovalo komunikaci a dokázalo mi říct, co zařízení odesílá?

Díky za rady :)
Nadřazený - - Od Rypi Dne 2015-11-03 10:02
Ještě další otázka... po zablokování (REJECT) stále vidím v "grafy v reálném čase -> připojení" spojení a počet paketu narůstá.

IPV4  UDP  10.20.30.40:9100  104.238.195.34:9010  4.56 MB (119088 Paketů)

Majordomo taky počítá data. Je to tím, že tyto nástroje počítají data "před firewallem"?

Díky
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-11-03 14:12
Majordomo vidí data ještě před firewallem. Pokud je ale provoz na firewallu zablokovám, měl byste vidět nenulovou hodnotu jen v jednom směru.
Nadřazený - - Od Rypi Dne 2015-11-03 20:57
Diky, je tedy mozne, ze pokud (kvuli nefunkcnimu DROP pres luci) mam pravidlo REJECT, tak turris posle packet i nazpet a majordomo ho tedy zapocita? Pri pouziti DROP primo v iptables uz vidim opravdu nenulove hodnoty jen v jednom smeru.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2015-11-04 12:23
REJECT posílá zpět ICMP zprávy o nedostupnosti, měl byste tedy vidět jen ICMP protokol v opačném směru, žádné TCP nebo UDP.
- - Od Milosh Dne 2015-11-03 10:43
Něco podobného jsem řešil taky. Potřeboval jsem zaříznout určitou IP adresu a také se mi to nedařilo. Nakonec pomohlo přidání pravidel do iptables. Konfigurace firewallu někde zřejmě nějaké porty zase povoluje.

Řešil jsem to tady.
Nadřazený - - Od Rypi Dne 2015-11-03 12:01
Díky, vyzkouším...
Pomohlo ti to pravidlo a majordomo už neukazuje žádný provoz?
Nadřazený - - Od Milosh Dne 2015-11-03 12:13 Upraveno 2015-11-03 12:16
Myslím si že jo. Download je nula, upload nula sice není, ale řekl bych, že majordomo to počítá před iptables, takže kamera se sice snaží něco poslat, majordomo to započítá, ale ven na internet se nic nedostane.
Nadřazený - Od Milosh Dne 2015-11-03 12:23
A navíc koukám, že za 2,5 dne se pokusila kamera uskutečnit 360 tisíc spojení o celkové velikosti 17MB paketů a 7MB dat. Filtr asi funguje. Prostě se ven nedostane.
Nahoru Téma Majitelé routerů / Technická podpora / Firewall - discard propouští komunikaci

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill