Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?

[stas stepanov]

Добрый день.

Keenetic Start (KN-1110) 2.15.

Если снять галочку "Разрешить доступ из Интернета по http", то по доменному имени (например mynet.keenetic.pro) зайти тоже нельзя.

Если галочку поставить, то можно зайти и по внешнему IP, и по по доменному имени.

С другой стороны, если создать для компа в локальной сети (192.168.1.2:4000) домен типа pc.mynet.keenetic.pro, то зайти на этот комп можно только по этому имени. Я не очень разбираюсь в сетях, и мне кажется, что это должно помешать роботам найти вход в мою сеть. Поэтому я хочу, чтобы так было и с доступом к роутеру.

Так как же запретить доступ к роутеру по внешнему IP, но оставить по доменному имени типа mynet.keenetic.pro?

[r13]

Такая функция появилась в 3.0

[stas stepanov]

Что такое 3.0?

У меня сейчас 2.15.C.3.0-2

[Rootdiv]

36 минут назад, stas stepanov сказал:

Что такое 3.0?

Новая версия прошивки, сейчас она находится в draft стадии. Когда будет beta мне неизвестно.

[stas stepanov]

Спасибо.

[Mikesk]

19 часов назад, r13 сказал:

Такая функция появилась в 3.0

Можно подробнее или пруфлинк? В direct по IP=по имени, ведь имя всего лишь резолвится в IP. А в облачном режиме закрывать доступ к IP бессмысленно, он же серый.

[stas stepanov]

В моей деревне внешний IP почему-то белый и статический. В облачном режиме к роутеру есть доступ и через доменное имя, и через этот внешний IP.

[r13]

18 минут назад, Mikesk сказал:

Можно подробнее или пруфлинк? В direct по IP=по имени, ведь имя всего лишь резолвится в IP. А в облачном режиме закрывать доступ к IP бессмысленно, он же серый.

Равно то равно, просто сервак не ответит, настройка в пользователи и доступ - только по https

[n70]

Просто закрыть 80 порт в межсетевом экране (провайдер).

[ndm]

В 11.05.2019 в 17:11, n70 сказал:

Просто закрыть 80 порт в межсетевом экране (провайдер).

Облачный доступ учитывает правила межсетевого экрана и NAT и эмулирует их работу. Если закрыть порт, облачный доступ тоже закроется.

В 23.04.2019 в 23:22, r13 сказал:

Такая функция появилась в 3.0

— правильный ответ.

[Gim12]

On 5/15/2019 at 6:31 PM, ndm said:

Облачный доступ учитывает правила межсетевого экрана и NAT и эмулирует их работу. Если закрыть порт, облачный доступ тоже закроется. 

— правильный ответ.

Да, но я этим заморочился и сделал по другому.

On 4/23/2019 at 11:06 PM, stas stepanov said:

Так как же запретить доступ к роутеру по внешнему IP, но оставить по доменному имени типа mynet.keenetic.pro?

В межсетевом экране (провайдер) нужно создать два правила:

1. Запретить всем ip доступ по 80 порту

2. Разрешить доступ вашему статическому ip по 80 порту

[MDP]

11 час назад, Gim12 сказал:

Да, но я этим заморочился и сделал по другому.

В межсетевом экране (провайдер) нужно создать два правила:

1. Запретить всем ip доступ по 80 порту

2. Разрешить доступ вашему статическому ip по 80 порту

только 1 и 2 пункт местами надо переставить

[Gim12]

55 минут назад, MDP сказал:

только 1 и 2 пункт местами надо переставить 

Ну я писал, как создавал.

А так, да. Первое правило должно быть разрешающее, второе запрещающее.

 

[Gim12]

В 19.06.2019 в 21:36, Gim12 сказал:

Да, но я этим заморочился и сделал по другому.

В межсетевом экране (провайдер) нужно создать два правила:

1. Запретить всем ip доступ по 80 порту

2. Разрешить доступ вашему статическому ip по 80 порту 

Нет не работает. Через некоторое время KeenDNS отваливается

Короче... протестировал я это и вдоль и поперек и могу сказать при наличии белого ip этот настроенный KeenDNS дыра в безопасности.
Как при настройке не выбирай, прямой доступ или доступ через облако. Но все равно вебморда кенетика светится на белом ip.
Если межсетевом экране настроить доступ по 80 порту только на нужные мне подсети, то доступ через KeenDNS отваливается. Получается хочешь пользоваться KeenDNS оставляй доступ к вебморде для всех ip. Прям радость для всех ботов которые долбятся подбирать пароли.
Ладно думаю настрою, защиту от перебора паролей... так и там недоделка кривая

 

Может кто знает нужные подсети ip кенетика, которые нужны для работоспособности KeenDNS.
А то посещают мысли забросить этот кенетик в дальний пыльный угол.

[r13]

12 минуты назад, Gim12 сказал:

Может кто знает нужные подсети ip кенетика, которые нужны для работоспособности KeenDNS.
А то посещают мысли забросить этот кенетик в дальний пыльный угол.

show cloud  в cli

там будет список облачных ip, но они могут и поменяться.

[Gim12]

47 минут назад, r13 сказал:

show cloud  в cli

там будет список облачных ip, но они могут и поменяться.

Да, там пять ip. Попробую их внести в белый список и посмотреть поможет ли это.

[Gim12]

10 часов назад, Gim12 сказал:

Да, там пять ip. Попробую их внести в белый список и посмотреть поможет ли это. 

Не помогло. Через пару часов KeenDNS отвалился.

Сношу KeenDNS . Светить вебморду кенетика всему интернету нет желания.