Firewall TD-W8970 pomysł na zasadę blokującą WAN ale pozostawiającą LAN


(LXVI) #1

Witam szukam pomysłu na utworzenie zasady na firewall'u która wyłączy dostęp do sieci zewnętrznej ale pozostawi ruch w sieci domowej.
(Firewall TD-W8970 pomysł na zasadę blokującą WAN ale pozostawiającą LAN)

Pozdrawiam LXVI


Blokada portów w routerze TL-WR841N
(Heinz) #2

Chcesz to dla jednego hosta czy dla wszystkich?
Ma to działać czasowo czy nonstop?


(LXVI) #3

Nie gniewaj się ale jakie ma to znaczenie?
Hosty sobie dodam, które chcę, a harmonogramem ustawie czas o ile będzie taka potrzeba?

Tylko nie mam pomysłu, samego jak zamknąć WAN nie blokując LAN'u.
Możemy się umówić na potrzeby dyskusji : 1 host cała doba - OK?

(a jeszcze milej było by zablokować tylko http:// i https://)
LXVI


(LXVI) #4

Przepraszam.
Wiem jestem debilem przyznaje się.
Tworząc regułę jest wybór Direction: IN/OUT
OK. Można by zamknąć temat, ale w takim razie pociągnę pytanie,
czy dało by się zablokować tylko protokoły: HTTP i HTTPS, a inny ruch zostawić?


(Heinz) #5

Ano takie że zawsze można wyłączyć połączenie wan. Ale wtedy działa to dla wszystkich hostów.

Właśnie pokombinowałem i jako WAN host można wprowadzić ip w zakresie 1.0.0.0 - 223.255.255.255 ( nie wiem dlaczego pierwszy oktet nie może być 255)

Jeśli chcesz blokować tylko http i https to w portach wpisz 80 - 80 a w następnej regule 443-443
Zaraz sprawdzę czy zadziała u mnie.

// Działa jak należy.

Jako że w LAN host łatwo zmienić adres IP to lepszą metodą jest blokowanie po adresie MAC, ale na PC łatwo to zmienić. Na telefonach to już problem.


(LXVI) #6

Wyłączyć połączenie WAN - :slight_smile: no tak - ale nie o to chodzi. OK
Reguły wszędzie tworze w oparciu o MAC nie o IP.

Ale oczywiście pomysł z portami!!! o! i tu flaszka jak się uda - własnie pomysłu szukałem!
zaraz sobie pokombinuje.
tak naprawdę chciałem doprowadzić do sytuacji gdy w kompach w LANie odetnę internet ale będę miał do nich dostęp lokalnie a już super by było jak bym mógł TeamWieverem (on wymaga logowania).

Twój pomysł podoba mi się - dzięki idę eksperymentować!
Pozdrawiam.
LXVI


(Heinz) #7

przy zablokowanym ruchu na http i https teamviewer działa jak należy.
Pewnie inne usługi jak ftp,ssh czy telnet też będą działały.


(LXVI) #8

I właśnie za to Cie polubiłem! ;-).
LXVI


(LXVI) #9

I z realizacją kłopot.
ustawiłem definicje LanHost'a na 192.168.1.105 /80 (te IP ma statycznie podane na karcie)
ustawiłem zasadę Deny\Enabled dla tego Hosta.

I niestety ruch w przeglądarkach śmiga, strony się wczytują, gdzie błądzę?
LXVI


(Heinz) #10

w LAN host wpisz tylko MAC lub zakres IP komputera lokalnego

W WAN host zrób coś takiego:

i takie samo dla portu 80

Potem w rule musisz ustawiasz dwie reguły w jednej uwzględniając wanhost z portem 80 a w drugiej z portem 443


(LXVI) #11

Ok. Zrobiłem jak mówisz - nie wyszło mi tzn. puszcza ale nie to ważne nie rozumiem dlaczego "po mojemu" było źle i dlaczego proponujesz takie rozwiązanie - czy to specyfika/składnia TPLinka? czy są jakieś inne ogólniejsze zasady których ja nie znam?

1 def. LAN Host'a tylko po MAC
2 def. WAN dwie reguły wg Twojego schematu
3 def. Rule Deny/enabled wykorzystując te dwie powyższe definicje.
I coś nie działa.... hmmm......

(Jest jeszcze jedna wada - na każdego hosta dwa wpisy - gdzie max 32 pozycje w routerze!)
LXVI


(Heinz) #12

1 i 2 OK
rule jako deny i enabled
jeszcze mam ustawiony schedule na:

Protocol na ALL


(LXVI) #13

Zaraz zaraz.
Deny i Enabled - tyczy się tylko tej konkretnej reguły!
Całego firewall'a mam na: Allow

Enable Firewall
Default Filtering Rules:
Allow - the packets not specified by any filtering rules to pass through the device

Czyli domyślnie puszcza wszystko z wyjątkiem tego co zakazuje.
A nie zakazane jest wszystko a puszczam tylko to co pozwole!

A co do moich pytań -- dlaczego tak to robisz, w ten sposób?
no i dalej puszcza - kuźwa - gdzieś wale byka.

LXVI


(Heinz) #14

Tak

Też

Dokładnie

Nie wiem. Tak zrobiłem i zadziałało
Najpierw zablokowałem sobie dojścia do jednego WAN host IP. Potem zrobiłem zakres IP jak wyżej.
Najpierw blokowałem wszystkie porty a później tylko https i jak chciałeś też http do dodałem port 80 z całym zakresem IP i zrobiłem nową regułę.
Blokuję tylko jednego hosta a drugiego mam cały czas odblokowanego.


(LXVI) #15

Rozumiem już sposób i "etymologie" i chciałbym też tak jak Ty!! :slight_smile:
Przez długie lata działałem na serwerach ISA Microsoftu - więc jestem przyzwyczajony do różnych dziwactw.
Dlatego tez nie upieram się co do logiki - jeśli reguła działa adaptujemy aż mamy co chcemy
Tylko mi nie działa rzuć okiem host:oldiwo

ten zaznaczony
i definicje:



(sorki mam dwa monitory podłaczone!)

Ale wiesz co - jak u Ciebie z firewall IPv6 tam dublowałeś te reguły?

LXVI


(Heinz) #16

IPv6 nie ruszałem.
Teraz musiałem wyjść i nie pamiętam czy tak samo mam wpisany wan host. Pokaż jak to masz wpisane.
Jaką masz wersję sprzętu? Ja ustawiałem na v1 z najnowszym softem


(LXVI) #17

Wersja sprzetu i soft:
Device Information
Firmware Version:0.6.0 2.12 v000c.0 Build 140613 Rel.31066n
Hardware Version:TD-W8970 v1 00000000
System Up Time:9 day(s) 22:25:39
WAN host: jeden i drugi tak samo tylko nr portu raz 80 raz 443

Jakbyś wpadł na coś, to fajnie i tak dzięki za czas mi poświęcony, ja będę szukał jak znajdę to napisze.
LXVI


(Heinz) #18

Wszystko wygląda OK.
Ja opiszę jak to robiłem po kolei:

  1. Włączam firewall ustawiając wszystko niezdefiniowane na Allow:
  2. Dodaję LAN hosta:

    Ważne tutaj aby MAC zgadzał się z tym jaki jest widziany przez router:
  3. Dodanie WAN hosta dla portu 443 i analogicznie dla 80:
  4. Ustawienie harmonogramu:
  5. Ustawienie reguły:

Po zapisaniu ustawień automatycznie utraciłem dostęp do http na docelowym komputerze. https działa, ale tylko wtedy kiedy adres jest wprowadzony bezpośrednio jako https. przekierowanie z http na https nie działa.
Po dodaniu takiej samej reguły tylko WAN host na porcie 443 komputer już nie otwierał stron http i https.

Jak na tak podstawowy router firewall działa w nim bardzo dobrze.

Sprzęt dla domu. Można by zrobić pojedynczy wpis blokując na nim zakres portów od 80 do 443 oraz dodając hostów po zakresie IP ( przypisanych jako statyczne dzierżawy w DHCP)


(LXVI) #19

Dzięki za wysiłek!
Efekt końcowy, który opisujesz własnie by mnie interesował.
Przeanalizowałem.
No niby tak samo, a nie działa.

Czyli
ze wskazanego hosta lokalnego
blokujemy wyjście
na wszystkie kompy w Internecie
o każdej porze doby
po porcie 80 i 433 - logicznie się zgadza.


BTW. Ten pierwszy oktet musi być 223 - bo to jest koniec klasy C, wyżej D, E, - to przestrzeń adresowa zarezerwowana.


(Heinz) #20

Dziwna sprawa.
Dodam jeszcze że ja mam tą samą wersję sprzętową z tym samym firmware.

Router mam ustawiony jako WAN bo nie mam łącza ADSL a ten egzemplarz W8970 którego mam ma upalony chip do ADSL.

Dzięki. Dobrze wiedzieć.

W ostateczności możesz wgrać na ten sprzęt OpenWRT/LEDE a tam możliwości firewalla są znacznie bogatsze.