Új hozzászólás Aktív témák

• #4731 MasterMark titán Bubukain #4730

  Új Válasz 2020-06-17 16:04:49 #4731

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  MasterMark

  titán

  válasz Bubukain #4730 üzenetére

  Stateful tűzfal, csinálj olyan szabályt, hogy te tudd szólítani az eszközöket onnan, viszont ők ne tudjanak maguktól átbeszélni, csak válaszolni arra, ha valaki onnan keresi.

  Így néz ki nálam:
  name BLOCK_IN {
default-action accept
description "IoT to internal"
rule 10 {
action accept
description "Accept established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log enable
state {
invalid enable
}
}
rule 30 {
action drop
description "Drop PROTECT_NETWORKS"
destination {
group {
network-group PROTECT_NETWORKS
}
}
log enable
protocol all
}
}

  Switch Tax

• #4735 rekop Topikgazda Bubukain #4730

  Új Válasz 2020-06-17 20:40:19 #4735

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  rekop

  Topikgazda

  válasz Bubukain #4730 üzenetére

  Úgy kellene beállítani, ahogyan MasterMark leírta.
  De leírom én is kicsit részletesebben.
  Első lépésben létrehozunk egy "network-group"-ot amibe felveszed azokat hálózatokat amelyeket nem szeretnél majd elérni az IOT hálózatból. Például:
  Firewall/NAT > Firewall/NAT Groups > + Add Group
  Name: PROTECT_NETWORK
Group Type: Network Group
  Firewall/NAT > Firewall/NAT Groups > PROTECT_NETWORK > Actions > Config
  Network: 192.168.1.0/24
Network: 10.10.0.0/24

  Jöhet az IOT_IN tűzfal szabály létrehozása, itt adhatjuk meg az IOT hálózatból a lan/wan irányú korlátozásokat. Az alapértelmezett művelet ennél az irányú forgalomnál az engedélyezés:
  Firewall/NAT > Firewall Policies > + Add Ruleset
  Name: IOT_IN
Description: iot to lan/wan
Default action: Accept

  Engedélyezzük, hogy az IOT eszközök, tudjanak "válaszolni" a "megkeresésekre":
  Firewall/NAT > Firewall Policies > IOT_IN > Actions > Edit Ruleset > + Add New Rule
  Description: Allow established/related
Action: Accept
Protocol: All protocols
Advanced > State: Established / Related

  A korábban felvett hálózatokba irányuló csomagokat pedig "eldobjuk":
  Firewall/NAT > Firewall Policies > IOT_IN > Actions > Edit Ruleset > + Add New Rule
  Description: drop iot to protect
Action: Drop
Protocol: All protocols
Destination > Network Group : PROTECT_NETWORK

  Csatoljuk a tűzfalat a megfelelő interfészhez:
  Firewall/NAT > Firewall Policies > IOT_IN > Actions > Interfaces
  Interface: eth1.20
Direction: in

  Létrehozhunk még egy IOT_LOCAL szabályt is, hogy ebből a hálózatból ne érjük el a routerünket:
  Firewall/NAT > Firewall Policies > + Add Ruleset
  Name: IOT_LOCAL
Description: iot to router
Default action: Drop

  A DNS-t és DHCP-t pedig engedélyezzük:
  Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > + Add New Rule
  Description: allow DNS
Action: Accept
Protocol: Both TCP and UDP
Destination > Port: 53
  Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Edit Ruleset > + Add New Rule
  Description: allow DHCP
Action: Accept
Protocol: UDP
Destination > Port: 67

  Ezt is csatoljuk a megfelelő interfészhez és irányba:
  Firewall/NAT > Firewall Policies > IOT_LOCAL > Actions > Interfaces
  Interface: eth1.20
Direction: local

  Nagyjából ennyi lenne. Értelemszerűen a hálózatokat és az interfészt módosítsd a saját konfigodnak megfelelően. Remélem nem rontottam el sehol, futtában írtam csak, sajnos nem sok időm van ilyesmire mostanában.

  [ Szerkesztve ]

  Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Új hozzászólás Aktív témák