Jump to content
  • 0

Файрволл полностью игнорируется устройством


George An
 Share

Question

Дано:

  • Keenetic Speedster
  • консоль Xbox Series S
  • Overwatch
  • пустые сервера на азиатском регионе Xbox
  • правила файрволла на запрет диапазона адресов Кореи (и не только)

Проблема

  • консоль все равно подключается к одному из адресов в Корее и к еще другим азиатским

Что пробовал?

  • перезагружал
  • перевтыкал
  • переписывал записи
  • включал/выключал
  • self-test брал
Quote

access-list _WEBADMIN_PPPoE0
    deny udp 0.0.0.0 0.0.0.0 117.52.0.0 255.255.0.0
    deny description "Asian Servers (1)"
    deny udp 0.0.0.0 0.0.0.0 121.254.0.0 255.255.0.0
    deny description "Asian Servers (2)"
    deny udp 0.0.0.0 0.0.0.0 5.42.0.0 255.255.0.0
    deny description "Asian Servers (3)"
    deny udp 0.0.0.0 0.0.0.0 34.126.0.0 255.255.0.0
    deny description "Asian Servers (4)"
    deny udp 0.0.0.0 0.0.0.0 15.185.0.0 255.255.0.0
    deny description "Asian Servers (5)"
    deny udp 0.0.0.0 0.0.0.0 151.101.0.0 255.255.0.0
    deny description "Asian Servers (6)"
    deny udp 117.52.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (1-1)"
    deny udp 121.254.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (2-2)"
    deny udp 5.42.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (3-3)"
    deny udp 34.126.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (4-4)"
    deny udp 15.185.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (5-5)"
    deny udp 151.101.0.0 255.255.0.0 0.0.0.0 0.0.0.0
    deny description "Asian Servers (5-5)"

  • бился головой об стол

Итог

  • файрволл не работает, консоль всё еще заходит на пару запрещенных мной IP из диапазона адресов

Помогите

Screenshot 2021-12-23 at 03.54.46.png

Screenshot 2021-12-23 at 03.55.06.png

Edited by George An
grammar
Link to comment
Share on other sites

5 answers to this question

Recommended Posts

  • 0
21 минуту назад, George An сказал:

Дано:

  • Keenetic Speedster
  • консоль Xbox Series S
  • Overwatch
  • пустые сервера на азиатском регионе Xbox
  • правила файрволла на запрет диапазона адресов Кореи (и не только)

Проблема

  • консоль все равно подключается к одному из адресов в Корее и к еще другим азиатским

Что пробовал?

  • перезагружал
  • перевтыкал
  • переписывал записи
  • включал/выключал
  • self-test брал
  • бился головой об стол

Итог

  • файрволл не работает, консоль всё еще заходит на пару запрещенных мной IP из диапазона адресов

Помогите

Screenshot 2021-12-23 at 03.54.46.png

Screenshot 2021-12-23 at 03.55.06.png

Не туда правила вешаете, нужно на домашний сегмент

  • Thanks 1
Link to comment
Share on other sites

  • 0
13 минуты назад, George An сказал:

Проблема

 

  • консоль все равно подключается к одному из адресов в Корее и к еще другим азиатским

 

Веб-интерфейс позволяет настроить правила только для входящего трафика.
Если все нужные правила вы уже настроили, то проще всего сменить тип ip access-group через CLI
 

interface {ИМЯ_НУЖНОГО_ИНТЕРФЕЙСА} ip access-group {ИМЯ_СПИСКА_ACL} out
(config)> interface Bridge2 ip access-group foobar in         // привязать список правил foobar к входящему трафику в Bridge2
Network::Acl: Input "foobar" access list added to "Bridge2".
(config)> interface Bridge2 ip access-group foobar out        // привязать список правил foobar к исходящему трафику в Bridge2
Network::Acl: Output "foobar" access list added to "Bridge2".
(config)>
(config)>
(config)>
(config)>
(config)>
(config)> interface Bridge2 ip no access-group foobar in     // отвязать ...
Network::Acl: "foobar" access group deleted from "Bridge2".
(config)> interface Bridge2 ip no access-group foobar out
Network::Acl: "foobar" access group deleted from "Bridge2".


Релевантная статья в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

Link to comment
Share on other sites

  • 0
8 минут назад, eralde сказал:

Веб-интерфейс позволяет настроить правила только для входящего трафика.
Если все нужные правила вы уже настроили, то проще всего сменить тип ip access-group через CLI
 

interface {ИМЯ_НУЖНОГО_ИНТЕРФЕЙСА} ip access-group {ИМЯ_СПИСКА_ACL} out
(config)> interface Bridge2 ip access-group foobar in         // привязать список правил foobar к входящему трафику в Bridge2
Network::Acl: Input "foobar" access list added to "Bridge2".
(config)> interface Bridge2 ip access-group foobar out        // привязать список правил foobar к исходящему трафику в Bridge2
Network::Acl: Output "foobar" access list added to "Bridge2".
(config)>
(config)>
(config)>
(config)>
(config)>
(config)> interface Bridge2 ip no access-group foobar in     // отвязать ...
Network::Acl: "foobar" access group deleted from "Bridge2".
(config)> interface Bridge2 ip no access-group foobar out
Network::Acl: "foobar" access group deleted from "Bridge2".


Релевантная статья в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

Не, тут это не нужно,

Выше правильный совет, правила на home сегмент надо перенести. 

Link to comment
Share on other sites

  • 0

И так и так можно. Первый способ со сменой направления полностью исходящие на эти адреса заблокирует, а второй блокирует входящие с этих адресов. Эффект почти тот же. Только первый способ блокирует сразу для всех сегментов.

Edited by keenet07
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...