исправлено Доступна samba в гостевой сети

Oleksii · November 21, 2017

Приветствую,

Настраиваю Keenetic Ultra 2.11.A.8.0-5. Хочу изолировать гостевую сеть от домашней. Есть 3 сети:

Home 192.168.1.0/28
Guest 192.168.2.0/28
L2TP 192.168.3.0/28 (не рассматриваем)

Настройки сетевого экрана:

Home только deny (Откуда -> куда -> протокол)

192.168.2.0/28 -> any -> TCP
any -> 192.168.2.0 -> TCP
аналогично UDP, ICMP, IP

Spoiler


    deny tcp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny tcp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny udp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny udp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny icmp 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny icmp 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny ip 192.168.2.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 192.168.2.0 255.255.255.240
    deny tcp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny tcp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240
    deny udp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny udp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240
    deny icmp 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny icmp 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240
    deny ip 192.168.3.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 192.168.3.0 255.255.255.240

Guest только deny (Откуда -> куда -> протокол)

192.168.1.0/28 -> any -> TCP
any -> 192.168.1.0 -> TCP
аналогично UDP, ICMP, IP

Spoiler


    deny tcp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny tcp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240
    deny udp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny udp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240
    deny icmp 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny icmp 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240
    deny ip 192.168.1.0 255.255.255.240 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 192.168.1.0 255.255.255.240

Подключаюсь к гостевой сети по Wi-Fi, веб-морда роутера не открывается (ok), но вот samba работает прекрасно (плохо):

Spoiler


PS C:\Users> Get-NetIPConfiguration -InterfaceIndex 13
InterfaceAlias       : Беспроводная сеть
InterfaceIndex       : 13
InterfaceDescription : Intel(R) Dual Band Wireless-AC 3165
NetProfile.Name      : Guest  2
IPv4Address          : 192.168.2.13
IPv6DefaultGateway   :
IPv4DefaultGateway   : 192.168.2.1
DNSServer            : 192.168.2.1


PS C:\Users> ping 192.168.1.1
Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

PS C:\Users> netstat
Активные подключения

  Имя    Локальный адрес        Внешний адрес          Состояние
  TCP    127.0.0.1:49680        aaaaaaaa:65001         ESTABLISHED
  TCP    127.0.0.1:55257        aaaaaaaa:wsd           TIME_WAIT
  TCP    127.0.0.1:55263        aaaaaaaa:wsd           TIME_WAIT
  TCP    127.0.0.1:55264        aaaaaaaa:wsd           TIME_WAIT
  TCP    127.0.0.1:65001        aaaaaaaa:49680         ESTABLISHED
  TCP    192.168.2.13:55260     db5wns1d:https         TIME_WAIT
  TCP    192.168.2.13:55261     db5sch101100128:https  ESTABLISHED
  TCP    192.168.2.13:55262     db5wns1d:https         TIME_WAIT
  TCP    192.168.2.13:55267     db5sch101101209:https  ESTABLISHED
  TCP    192.168.2.13:55269     lh-in-f188:https       ESTABLISHED
  TCP    192.168.2.13:55270     192.168.1.1:microsoft-ds  ESTABLISHED
  TCP    [::1]:55258            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55265            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55266            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55268            aaaaaaaa:wsd           TIME_WAIT
  TCP    [::1]:55271            aaaaaaaa:wsd           TIME_WAIT

Откуда там взялся " TCP 192.168.2.13:55270 192.168.1.1:microsoft-ds ESTABLISHED"?! Как оставить samba только для домашней сети?

r13 · November 21, 2017

Имхо все эти правила не нужны, доступа из гостевой сети и так не должно быть если не стоит галка "Разрешить доступ к интернет-центру:" в настройках гостевого сегмента. Если не так, то похоже на баг так как в конфигурации по умолчанию из гостевой сети есть доступ только к dhcp и dns роутера,все остальное запрещено.

зы правило для протокола ip перекрывает остальные правила

Edited November 21, 2017 by r13

Oleksii · November 21, 2017

Проверил ещё раз. Сбрасываю роутер к заводским настройкам. Делаю всего одно изменение:

Захожу, ставлю пароль на гостевую сеть

Убеждаюсь что галочка "разрешить доступ к интернет-центру" в сегменте снята. Подключаю второй ноутбук к гостевой сети, Samba там открывается.

MDP · November 22, 2017

Чего-то ACL как-то непонятно у Вас настроен.

должно быть наверное на домашнем ACL

deny ip 192.168.1.0 255.255.255.240 192.168.2.0 255.255.255.240

deny ip 192.168.1.0 255.255.255.240 192.168.3.0 255.255.255.240

а на гостевом ACL

deny ip 192.168.2.0 255.255.255.240 192.168.1.0 255.255.255.240

deny ip 192.168.2.0 255.255.255.240 192.168.3.0 255.255.255.240

для l2tp

deny ip 192.168.3.0 255.255.255.240 192.168.1.0 255.255.255.240

deny ip 192.168.3.0 255.255.255.240 192.168.2.0 255.255.255.240

...и всё

Edited November 22, 2017 by MDP

ShadoW · November 22, 2017

Подтверждаю! У меня так же из гостевой есть возможность подключаться к Samba.

галочка "разрешить доступ к интернет-центру" в сегменте Guest снята.

Причем подключается через 192.168.1.1

Edited November 22, 2017 by ShadoW

Oleksii · November 22, 2017

Продолжаю разбираться. Часть теоретическая

Spoiler

1. Почитав внимательно "Описание работы с межсетевым экраном", обращаю внимание на то, что правила для интерфейса при редактировании через UI будут добавляться как входящие (in), а также должны быть указаны со стороны инициатора запроса.

2. У меня установлен компонент uPnP, который может самостоятельно что-то куда-то пробросить. Удобно.

3. В гостевой сети и домашней сети включен NAT для выхода в интернет.

4. п.2 и п.3 в некотором роде создают свои правила, но могут быть уточнены через настройки МСЭ. Важно!

5. Уровень доступа (security-level) домашней сети определен как private

6. Уровень доступа (security-level) гостевой сети определен как protected

7. Согласно картинке и сопутствующему ей тексту, доступа междк Guest, Home и сервисами роутера быть как бы не должно (если бы не uPnP/NAT, я так понимаю).

Spoiler

8. В конфиге установлена настройка isolate-private

Вроде с теорией всё.

Сбросили роутер к заводским настройкам. Погнали играться с работой гостевой сети. Табличка с результатами под спойлером.

Spoiler

Описание тестов ниже.

Spoiler

Вариант 1. Отключаем компонент uPnP, отключаем NAT для гостей. Доступа нет никуда, кроме Smb. Тут бы можно было наверное и закончить. Но идём дальше.

Вариант 2. Такая сеть наверное мало кому нужна. Добавляем ей интернет, включая NAT. Почти всё как нужно, кроме Smb.

Вариант 3. Я ленив, потому включаю снова uPnP. Ничего в разрезе сети не поменялось, но удобства в прочих настройках прибавилось. Вариант лучше прошлого, но не идеал.

Вариант 4. Выше в п.4 смотрим, что казалось бы можно закрыть этот злосчастный сервис через МСЭ.

Проверяем нашу теорию. Отправляем ping 192.168.1.1 -t. Ничего не идет, в данном случае это ок
Пробуем работает ли firewall. Открываем МСЭ для гостевой сети. Добавляем allow - ICMP - 192.168.2.0/28 - 192.168.1.0/28. Пинг немедленно проходит, даже интерфейс не надо передёргивать. Вот он путь к успеху! Наверное.
Там же добавляем deny - IP - 192.168.2.0/28 - 192.168.1.0/28 в конец списка. В теории должен остаться только пинг в Home сеть после выкл/вкл гостевой сети, чтобы наверняка. В результате этот неубиенный Smb всё равно работает.
Проверяем ещё раз что правило firewall обрабатывается. Передвигаем правило с IP в начало списка и меняем deny - IP - 192.168.2.0/28 - any. Вот сейчас гостевая сеть должна совсем помереть. Это в теории, ха-ха. Один сервис всё-таки непотопляем таким подходом. Я не буду называть его имени.
Дальнейшие упражнения показывают, что правила-таки обрабатываются для прочих сервисов роутера.
Видимо Smb не подчинается МСЭ. Полагаю эту идею можно оставить в покое.

Вариант 5. Переводим Guest и GuestWiFi сеть из уровня protected в public; system config-save; system reboot. Доступ к сетевому диску как работал, так и работает.

Ребята, я не понимаю как это работает, центр поддержки молчит (или я не нашёл).

Как обуздать эту гидру, посоветуйте? Может кто рабочим конфигом поделится (без паролей конечно, для ознакомления)?

ndm · November 23, 2017

@Oleksii @ShadoW не знаю, кто из вас, но пришло официальное обращение через техподдержку. Поставили в работу, будем разбираться.

ndm · December 7, 2017

Исправлено в версии 2.11.A.9.0-2. Дело было в ускорителе SMB, который гонит пакеты мимо сетевого стека и нетфильтра.

Sign In

исправлено Доступна samba в гостевой сети

Question

Oleksii

Link to comment

Share on other sites

6 answers to this question

Recommended Posts

r13

Link to comment

Share on other sites

Oleksii

Link to comment

Share on other sites

MDP

Link to comment

Share on other sites

ShadoW

Link to comment

Share on other sites

Oleksii

Link to comment

Share on other sites

ndm

Link to comment

Share on other sites

ndm

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members

Browse

Activity

Store

My Details