Jump to content

Search the Community

Showing results for tags 'firewall'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Forum policy
    • Community Support & Knowledge Exchange
    • Off-topic lounge
  • Keenetic Updates
    • KeeneticOS
    • Keenetic mobile application
    • Keenetic RMM system
  • Форум пользователей Keenetic
    • Обмен опытом
    • KeeneticOS
    • Мобильное приложение
    • Keenetic RMM

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

  1. Keenetic сделал мне вторую сеть с адресами 192.168.2.* (с SSID "TECH"). Из нее есть выход в интернет есть, но как настроить возможность подключения к ней из Wi-Fi-сетки 192.168.1.* (SSID Keenetic-1234)?
  2. Здравствуйте! Хочу запустить у себя за кинетиком авторитативный DNS-сервер, но столкнулся с проблемой - никакие пакеты на 53 порты не доходят, и даже не записываются с помощью захвата пакетов. Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables: Chain _NDM_IP_PROTECT (1 references) pkts bytes target prot opt in out source destination 83 6008 _NDM_IP_PUBLIC all -- * * 0.0.0.0/0 0.0.0.0/0 82 5956 _NDM_SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 _NDM_SL_PROTECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?
  3. Добрый день, помогите пожалуйста с такой ситуацией: есть два keenetic dsl на прошивке 2.11.D.4.0-0 согласно статье настроена связь через ipsec между подсетями двух кинетиков все - ок, есть пинги как с кинетиков в обе стороны, так и устройств в подсетях но мне нужно чтобы было только связь между подсетями, а интернета ни у кого не было - поэтому ставлю галку "Запретить доступ в интернет незарегистрированным устройствам" после чего ничего не пингуется даже при активном туннеле, настраиваю правила межсетевого экрана для сервера разрешаю для интерфейса home все входящие с подсети 192.168.2.0/24 в подсеть 192.168.1.0/24 по протоколу IP для клиента разрешаю для интерфейса home все входящие с подсети 192.168.1.0/24 в подсеть 192.168.2.0/24 по протоколу IP теперь я могу пинговать и заходить в веб интерфейс с одного роутера на другой в любом направлении, но устройства из подсетей за роутерами друга друга не видят (с компьютеров в подсетях вижу только "свой" ближайший роутер, который прописан как шлюз и ничего за ним) файрволы устройств в подсетях клиента и сервера отключены \ настроены на прием всего с соотв. подсетей подскажите что нужно еще настроить чтобы при включенной настройке "Запретить доступ в интернет незарегистрированным устройствам" подсети видели друг друга или как по другому решить проблему с закрытием доступа в интернет? заранее спасибо
  4. Сейчас в кинетике реализован урезанный acl в части ipv6 доступно управление(открытие) только для tcp/udp транзитного трафика(клиентов) Предлагаю реализовать acl сопоставимый по возможностям с тем что сейчас присутствует для v4 Более широкий спектр IP протоколов, Не только клиенты, но и сам роутер. Короче, полноценный ipv6 firewall
  5. Добрый день, @Le ecureuil Так как на 3.0 IPv6 адреса выдаются в том числе и vpn клиентам, то не плохо бы распространить действие команды ipv6 static по открытию v6 портов в том числе и на клиентов vpn соединений кинетика. ЗЫ Ну и допилить открытие локальных v6 портов на сам кинетик тоже ждем
  6. @Le ecureuil @ndm Добрый день, перелагаю активировать возможность подключения к встроенным серверам по IPv6 Даешь DualStack сервера ЗЫ судя по выхлопу ipsec уже даже слушает ipv6 но в firewall не открыт, а открывалка для встроенных сервисов пока в cli не реализовала. Status of IKE charon daemon (strongSwan 5.7.2, Linux 4.9-ndm-0, mips): uptime: 93 seconds, since Apr 06 20:11:41 2019 malloc: sbrk 159744, mmap 0, used 121296, free 38448 worker threads: 4 of 9 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 129.173.49.242 2a02:2168:a3b:5770::1 192.168.1.9 10.1.30.9
  7. Необходимо реализовать следующую схему. На роутере в "Другие подключения" подключен VPN. В "Маршрутизации" создан Статический маршрут для определенного IP (узел в интернете), чтоб он работал через этот VPN. Это всё работает прекрасно. Из домашней сети можно обращаться к узлу через VPN. При отключении VPN доступ к этому узлу сразу начинает проходить через WAN соединение провайдера, т.е. напрямую. Задача: запретить прямое прохождение трафика к узлу при разрыве VPN соединения. Но чтобы при активном VPN соединении этот трафик шел через него. Если создать запрещающее правило в Межсетевом экране для узла на интерфейсе Домашняя сеть. То доступ к узлу перекрывается полностью. В том числе и через VPN. Если создать то же правило на интерфейсе провайдера, оно не работает как нужно. Трафик из Домашней сети проходит напрямую к узлу. Потому-что Межсетевой экран в веб-интерфейсе может блокировать только входящие соединения. И есть приоритет NAT. Т.е. запрос к узлу спокойно проходит через NAT и выходит по каналу провайдера. Вопрос. Как запретить исходящий трафик через интерфейс провайдера к этому узлу, но при этом, чтобы он спокойно проходил через VPN когда он подключен?
  8. дано ultra 2, прошивка 2.13C. к роутеру разрешен доступ только с 2х внешних ip, + в фаерволе прописано запрещающее правило на порт 8888, при этом с постороннего ip на этот порт свободно можно попасть. (см скриншоты). вопрос: как так?
  9. Сейчас тупо по ip-адресам все нужно смотреть. Если правило одно-два, то нет проблем. Когда их пару десятков - это уже жесть. Поле "описание" есть в разделе переадресации портов, добавьте и сюда, пожалуйста.
  10. После очередного обновления прошивки не могу добавить правило в межсетевой экран. Система требует не принимает ip адрес. Странное в том что у меня уже есть аналогичное правило и система позволяет его открыть и посмотреть, и не выдает ошибок. Существующее правило без ошибок Оно же в конфиге: permit icmp 192.168.1.100 255.255.255.255 172.16.1.0 255.255.255.240 Пытаюсь добавить аналогичное правило для другого внутреннего ip (.101). Скрин с ошибкой. Подскажите, что я делаю не так или это ошибка в web интерфейсе. Версия NDMS 2.13.C.0.0-1 Keenetic Giga II
  11. Коллеги, пытаюсь написать несколько правил, но что-то не работает. 1. есть сетка VPN и Домашняя сетка. 2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут 3. пробую вешать правило запрета на Домашнюю сетку тоже ходит. недопонимаю логику работы. цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP
  12. День добрый, Дома стоит Keenetic Extra II После обновления прошивки с версии 2.10 на 2.11 перестал работать проброс порта ssh. Подскажите, - что-то изменилось? Настройки NAT и Firewall не менялись, но ноутбук стоящий за роутером через ssh более не доступен. в NAT настроено правило на трансляцию конкретного порта с роутера на конкретный порт устройства в Firewall прописан маршрут туда и обратно по портам в сеть роутера
  13. Прошу добавить возможность блокировать некоторые сайты по доменному имени в межсетевом экране. Так будет гораздо лучше для всех.
  14. Все перерыл, не могу найти, где включается эта опция? Чтобы писалось и при срабатывании своих правил, и тех что заданы по умолчанию.
  15. Нужно поле "описание" для правил firewall'a. Очень неудобно спустя месяц-другой вспоминать, а что это за ip адреса забиты. Сейчас вспоминаю все через nslookup, но хотелось бы просто иметь возможность писать комментарии к своим правилам. К слову, для вкладки NAT есть такая возможность.
  16. Приветствую, Настраиваю Keenetic Ultra 2.11.A.8.0-5. Хочу изолировать гостевую сеть от домашней. Есть 3 сети: Home 192.168.1.0/28 Guest 192.168.2.0/28 L2TP 192.168.3.0/28 (не рассматриваем) Настройки сетевого экрана: Home только deny (Откуда -> куда -> протокол) 192.168.2.0/28 -> any -> TCP any -> 192.168.2.0 -> TCP аналогично UDP, ICMP, IP Guest только deny (Откуда -> куда -> протокол) 192.168.1.0/28 -> any -> TCP any -> 192.168.1.0 -> TCP аналогично UDP, ICMP, IP Подключаюсь к гостевой сети по Wi-Fi, веб-морда роутера не открывается (ok), но вот samba работает прекрасно (плохо): Откуда там взялся " TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED"?! Как оставить samba только для домашней сети?
  17. Столкнулся с проблемой: игнорируются правила МСЭ на интерфейсах WifiMaster0/WifiStation0 и CdcEthernet0. Цель: разрешить tcp, udp для одного ip и заблокировать все остальные ip. Несмотря на последние записи в access-list соответствующего интерфейса deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 deny icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 пакеты уходят в любые направления. Роутер, конечно, перезагружал. Год назад такое проделывал с UsbModem0 - все работало. Giga II и Omni II, 2.09.A.6.0-0
  18. В Web- интерфейсе http://192.168.1.1/#security.acl хорошо бы правила пронумеровать, иначе приходится считать в какую позицию вставлять новое правило. Если их более 10 то совсем уже трудно становится, приходится его потом двигать, а каждое продвижение - это запись конфига. При выборе маски сети всё-же можно отображать в 2-х вариантах, например вот так 255.255.0.0 (/16)
  19. Надо было сегодня пробросить порты на 15 камер. Вот сидел и 15 раз вводил правила, отличающиеся друг от друга двумя цифрами. А так нажимал бы кнопку "Скопировать", подправлял пару цифр и нажимал "Сохранить", и было бы здорово!
  20. Доброго дня! Не хватает одной мелочи при создании правил сетевого экрана. Хочется иметь возможность добавлять комментарии к правилам. Например, разрешил подключение с какого-то адреса, добавил комментарий и сразу понятно, что это за адрес. А так забывается. А если правил много, то совсем тяжко без таких комментариев-подсказок. Так же комментарии могут быть полезны в правилах NAT. А за возможность выключать правила огромная благодарность!
  21. После установки samba, как было предложено в этом посте и открытия в фаерволле 137-139,445 портов ресурс доступен из сети, однако при входе с виндовых клиентов очень надолго подвисает при отображении имеющихся на нем шар (чего не наблюдается при входе с того же андроид-смартфона) в сами шары входит мгновенно. Если последнее правило фаерволла для всех оставшихся tcp пакетов делаю разрешающим, то шары из под винды начинают отображаться тик же быстро.. На основании вышеизложенного прошу помочь с настройкой фаерволла.
  22. Уважаемые разрабы! Наверное этот вопрос набил уже оскомину, но тем не мене, ну почему нельзя во встроенный фаервол сделать функцию настройки правил не по конкретному ip-адресу, а по, скажем, целому домену? Ну, скажем *miсrosoft.com? Для простого юзверя, типа меня, гораздо ж проще вбить домен, чем выяснять конкретные ip адреса Чего не развить нормальный фаервол "из коробки"? Политика партии или технические сложности (в чём я сомневаюсь)? ЗЫ, знаю знаю про всякие там skydns и прочие подобные платные сервисы... ЗЫЫ, ребят, не судите строго
  23. По мотивам этой темы . На мой взгляд, запрещение/разрешение диапазона портов не должно быть таким сложным. Может быть следует сделать что-то вроде этого: permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 4015-6070 и то же самое в WEB-интерфейсе?
  24. По ходу своей работы столкнулся с такой жутко неудобной проблемой: Настраиваю правила трансляции портов на NAT или правила блокировке firewall. Обычно это не одно правило, например RDP на несколько машин и еще пара портов проброа для временного/постоянного доступа, а так же firewall правила - до двух десятков бывает. Но вот незадача, если надо временно выключить доступ ко внутренним портам (бывает что на задачу 2-3 правила) то не кнопки выключить правило, его можно только банально "грохнуть"! Но мне в 80% случаев через какое-то время опять нужно включить правила и приходиться его создавать с нуля! Ну надо например на час два RDP закрыть, а потом открыть. А иногда порты-то по памяти и не вспомнишь! Так к чему я, на многих железках есть помимо удалить и вверх вниз приоритет поднять, кнопка выключить обработку правила, чтобы потом при необходимости его просто включить, а не создавать заново! А firewall если из десятка правил тестируешь... проще выключить и посмотреть как без правила работать, чем после удаления сказать - "Нет, давай ка назад и создавать правило заново!" Это ж время убивается и жесть как неудобно! На многих D-Link, NetGear, да чего далеко ходить, юзаю USG 40W и там все прекрасно есть... и куча правил... и часто половина выключены, а когда они нужны, я их просто включаю, заметьте, просто включаю, а не вспоминаю с мукой, что надо и не создаю заново! Пускай сделают напротив правило еще колонку, а там (как многие обычно делают) иконка лампочки, либо горит, либо нет. На худой конец галочки хватит! Заранее всем благодарен!
  25. Думаю, было бы неплохо добавить списки адресов для межсетевого экрана, чтобы одно правило действовало не максимум на подсеть, а на список подсетей и адресов. В linux такую функциональность обеспечивает IPSet.
×
×
  • Create New...