Использование фаервола:
Цель фаервола в том, чтобы администратору-пользователю ограничить определенный сетевой трафик, поэтому каждое правило фаервола определяет конкретный тип сетевого пакета, который не будет отправлен по сети. Можно было указать диапазон причин, но это уже выйдет за рамки данной статьи. Однако, я подробно опишу сложную ситуацию, в которой я так сделал, и надеюсь, что другие пользователи найдут в этом описании что-нибудь полезное. Я надеюсь, что этот сценарий и различные способы, в которых использованы функциональные возможности фаервола, послужит примером, из которого читатель сможет вывести решения для его собственных потребностей.
Предупреждение:
При настройке фаервола есть определенный уровень опасности. Можно случайно определить правило фаервола, который сделает передатчик недоступным, а фаервол, в свою очередь, требует заходить на этот передатчик, и может даже потребоваться сброс настроек просто для того, чтобы восстановить доступ к ним. Всегда проверяйте, что бы ни предложил вам фаервол, перед тем как применить его на практике. Примите меры предосторожности: не забудьте создать резервную копию конфигурации перед изменением фаервола и будьте готовы к худшему.
Для простого использования стандартные документы фаервола довольно просты и дают ясное понимание о его работе. Веб-интерфейс в настройке фаервола довольно просто. А некоторые сложности описаны ниже.
Важные детали о фаерволе, опущенные в AirOS Docs:
Документы для AirOS фаервола не отображают то, что части «MASK» должны быть специфицированы CIDR, например, 192.168.1.0/24 (в отличие от четырехчисловой 192.168.1.0/255.255.255.0, используется ранними версиями AirOS.) Если источник или получатель относится к хосту (а не к сети), следует выбрать верную маску CIDR которая равна для хоста /32. Если Вы ошибетесь, интерфейс примет значение, но оно не будет иметь эффекта, трафик не будет блокироваться.
Есть ли примеры, когда применялись простейшие настройки? Если сети были созданы, изменены, обслуживались, ответ будет «немного», всегда существует смесь подсетей, каждая с разными подключениями и требованиями безопасности. Привожу пример сети (реально существующей):
Пример описания сети:
DOCSIS 2.0 кабельный модем (8 мб/сек получение, 2 мб/сек отдача) подключает роутер к Интернету. Один из Интернет портов (кабельный) подключает Bullet2HP (AP WDS/режим роутера) к локальной/внутренней сети (и таким образом, к Интернет, через NAT.) Другой Bullet2HP (станция WDS/режим моста) в 3 милях от него, подключается по беспроводной сети к первому — двусторонним подключением «дальнобойным» подключением через транспортную сеть. Интернет порт передатчика в режиме моста подключает другой Bullet2(AP/режим роутера) и подключается по беспроводному соединению к третьему Bullet2, есть несколько других CPE передатчиков, с различными режимами.
1. Router
- WAN IP: [публичный IP, получен от DHCP]
- Шлюз: [публичный IP, получен от DHCP]
- LAN IP: 192.168.1.1
- Локальная/внутренняя сеть: 192.168.1.0/24
2. Роутер Bullet2HP P2P AP/WDS
- LAN IP [Ethernet порт]: 192.168.1.10
- Шлюз: 192.168.1.1
- WLAN IP: 192.168.4.1
- Локальная/внутренняя(беспроводная) сеть: 192.168.4.0/24
3. Bullet2HP P2P Station/WDS режим моста
- IP: 192.168.4.5
- Шлюз: 192.168.4.1
4. Роутер Bullet2 AP
- LAN IP [Ethernet порт]: 192.168.4.10
- Шлюз: 192.168.4.1
- WLAN IP: 192.168.5.1
- Локальная/внутренняя(беспроводная) сеть: 192.168.5.0/24
5. Разные CPE передатчики
- Каждому присвоен статический IP из 192.168.5.0/24
- Присваиваются статические IP адреса для выделенных целей за CPE [мостами]
- Общие хосты за CPE в режиме моста получают адреса присвоенные DHCP от 192.168.5.1
- Общие хосты за CPE в режиме роутера получают адреса присвоенные DHCP от CPE/роутера
Требования фаервола:
- В целях безопасности, хосты в сети 192.168.1.0/24 недоступны для любых сетей/хостов, подключенных через 192.168.1.10 (AP/WDS роутер).
- Также в целях безопасности сети/хосты вне моста должны быть недоступны для хостов в сети 192.168.4.0/24.
- Обнаружили потребность в блокировке ICMP трафика от роутера, который идет за определенным CPE [мостом] к другим хостам, так как трафик, который он генерировал, был просто смешным.
- Не хочем брешей в протоколе преобразования адресов (ARP) между сетями и CPE.
Перед тем, как опишем то, как и где применять вышеописанные требования, важно заметить, что существует следующее явление: возможно, Вы встречали документы или сообщения о том, что функционирование фаервола невозможно на передатчиках, работающих в режиме моста. Хотя это присутствовало в ранних версиях AirOS, я не уверен, что это есть сейчас. Правила фаервола можно использовать в режиме моста для предотвращения отправки через него трафика, будет задействован только тот трафик, который проходит через мост (это значит, что трафик будет проходить только то, что предназначен для той же подсети).
Применение
Требование #1
Данное требование применяется к AP/WDS точке доступа через правило фаервола:
Это правило блокирует трафик от 192.168.4.0/24, от доставки к любому хосту на 192.168.1.0/24. (По-видимому, адрес шлюза, 192.168.1.1, неявно освобождается.). Это эффективно защищает сеть 192.168.1.0/24 от подключений WiFi хостов/сетей.
Требование #2
Данное требование применяется к станции/WDS мосту через правило фаервола:
Это правило блокирует трафик от любого хоста, отличного от 192.168.4.1 в сети192.168.4.0/24 AP роутера, таким образом, предотвращая любые проникновения в сеть192.168.5.0/24 (которая определит 192.168.4.10 как шлюз.)
Заметьте, что не отмечают 192.168.5. Это происходит потому, что никакой адрес в этой сети не имеет значения для точки доступа/WDS роутера или станции/WDS моста. 192.168.5.0/24 определен другим оборудованием; две сети подключены, т.к. другая часть оборудования имеет 2 интерфейса, один с IP в 192.168.4.0/24, а другой в 192.168.5.0/24. Но ни одно из устройств не может этого узнать, они только видят трафик от/к 192.168.4.10. (NAT, произведенный другим оборудованием, занимается остальными.)
Требование #3
Данное требование применяется к роутеру точки доступа через правило фаервола:
Это правило предотвращает передачу ICMP трафика определенным роутером (у которого должен быть статический IP) к хостам в сети. Роутер посылал ICMP хосту редиректы к другим хостам, т.к. ошибочно полагал, что они ближе к интернету, чем его шлюз. Эти ложные фреймы были раздражающими и разрушительными для других хостов; это правило заставляет удаляться такие фреймы. Это правило, возможно, было исполнено на CPE абонента, но оставило хосты в сети неспособными проверить связь с точкой доступа/роутером (это может неожиданно потребоваться в любой момент для поиска и устранения неисправностей).
Требование #4
Данное требование может быть установлено только c каждым подключенным CPE. Блокирует ARP трафик между подключенными хостами роутера точки доступа. ARP передачи, появляющиеся внутри сети абонента, почти бесполезны в лучшем случае, и теоретически разрушительны в худшем случае:
Это правило предотвращает ARP передачи от роутера точки доступа от пересечения с мостомCPE. Это не затрагивает ARP трафик между хостами в сети абонента, затрагивает только тот трафик, который пересекает мост.
Заметьте, что это требование может применяться, принуждая CPE использовать режим роутера. Наложение избыточного слоя NAT кажется чрезмерным, так что CPE мосты разрешены, пока ARP передачи, происходящие за ними, хранятся там.
Заключение
В заключение стоит отметить, что валидация практически бессмысленная для фаервола. Используйте CIDR обозначения для масок с максимальной длиной начальных и конечных вводов (в худшем случае требуется менее 31 знака), это позволит Вам ввести четырехточечную маску, которая подойдет. Также это позволит принимать IP адреса в сетях, которые бессмысленны в контексте настройки сети устройства. Правила, включающие неверные значения, не будут иметь эффекта, но Вы и не получите никаких предупреждений.
Более того, ничто не защитит от обозначения правила, которое сделает передатчик недоступным. Один раз я случайно установил правило на AP/WDS роутер с 192.168.4.0/24определенным как источник и назначение! Это привело к невозможности связи с передатчиком через его IP 192.168.4.1 (а также отключило связь между ним и станцией/WDS мостом.) Ошибка стоила бы мне похода к передатчику, но к счастью я смог достучаться до него через другой IP 192.168.1.10.
Поэтому подумайте дважды перед тем, как принять правила и никогда не допускайте ситуаций, когда возврат к заводским настройкам будет невозможным.
© ubnt