Firewall TD-W8970 pomysł na zasadę blokującą WAN ale pozostawiającą LAN

Witam szukam pomysłu na utworzenie zasady na firewall'u która wyłączy dostęp do sieci zewnętrznej ale pozostawi ruch w sieci domowej.
(Firewall TD-W8970 pomysł na zasadę blokującą WAN ale pozostawiającą LAN)

Pozdrawiam LXVI

Chcesz to dla jednego hosta czy dla wszystkich?
Ma to działać czasowo czy nonstop?

Nie gniewaj się ale jakie ma to znaczenie?
Hosty sobie dodam, które chcę, a harmonogramem ustawie czas o ile będzie taka potrzeba?

Tylko nie mam pomysłu, samego jak zamknąć WAN nie blokując LAN'u.
Możemy się umówić na potrzeby dyskusji : 1 host cała doba - OK?

(a jeszcze milej było by zablokować tylko http:// i https://)
LXVI

Przepraszam.
Wiem jestem debilem przyznaje się.
Tworząc regułę jest wybór Direction: IN/OUT
OK. Można by zamknąć temat, ale w takim razie pociągnę pytanie,
czy dało by się zablokować tylko protokoły: HTTP i HTTPS, a inny ruch zostawić?

Ano takie że zawsze można wyłączyć połączenie wan. Ale wtedy działa to dla wszystkich hostów.

Właśnie pokombinowałem i jako WAN host można wprowadzić ip w zakresie 1.0.0.0 - 223.255.255.255 ( nie wiem dlaczego pierwszy oktet nie może być 255)

Jeśli chcesz blokować tylko http i https to w portach wpisz 80 - 80 a w następnej regule 443-443
Zaraz sprawdzę czy zadziała u mnie.

// Działa jak należy.

Jako że w LAN host łatwo zmienić adres IP to lepszą metodą jest blokowanie po adresie MAC, ale na PC łatwo to zmienić. Na telefonach to już problem.

Wyłączyć połączenie WAN - :slight_smile: no tak - ale nie o to chodzi. OK
Reguły wszędzie tworze w oparciu o MAC nie o IP.

Ale oczywiście pomysł z portami!!! o! i tu flaszka jak się uda - własnie pomysłu szukałem!
zaraz sobie pokombinuje.
tak naprawdę chciałem doprowadzić do sytuacji gdy w kompach w LANie odetnę internet ale będę miał do nich dostęp lokalnie a już super by było jak bym mógł TeamWieverem (on wymaga logowania).

Twój pomysł podoba mi się - dzięki idę eksperymentować!
Pozdrawiam.
LXVI

przy zablokowanym ruchu na http i https teamviewer działa jak należy.
Pewnie inne usługi jak ftp,ssh czy telnet też będą działały.

I właśnie za to Cie polubiłem! ;-).
LXVI

I z realizacją kłopot.
ustawiłem definicje LanHost'a na 192.168.1.105 /80 (te IP ma statycznie podane na karcie)
ustawiłem zasadę Deny\Enabled dla tego Hosta.

I niestety ruch w przeglądarkach śmiga, strony się wczytują, gdzie błądzę?
LXVI

w LAN host wpisz tylko MAC lub zakres IP komputera lokalnego

W WAN host zrób coś takiego:

i takie samo dla portu 80

Potem w rule musisz ustawiasz dwie reguły w jednej uwzględniając wanhost z portem 80 a w drugiej z portem 443

Ok. Zrobiłem jak mówisz - nie wyszło mi tzn. puszcza ale nie to ważne nie rozumiem dlaczego "po mojemu" było źle i dlaczego proponujesz takie rozwiązanie - czy to specyfika/składnia TPLinka? czy są jakieś inne ogólniejsze zasady których ja nie znam?

1 def. LAN Host'a tylko po MAC
2 def. WAN dwie reguły wg Twojego schematu
3 def. Rule Deny/enabled wykorzystując te dwie powyższe definicje.
I coś nie działa.... hmmm......

(Jest jeszcze jedna wada - na każdego hosta dwa wpisy - gdzie max 32 pozycje w routerze!)
LXVI

1 i 2 OK
rule jako deny i enabled
jeszcze mam ustawiony schedule na:

Protocol na ALL

Zaraz zaraz.
Deny i Enabled - tyczy się tylko tej konkretnej reguły!
Całego firewall'a mam na: Allow

Enable Firewall
Default Filtering Rules:
Allow - the packets not specified by any filtering rules to pass through the device

Czyli domyślnie puszcza wszystko z wyjątkiem tego co zakazuje.
A nie zakazane jest wszystko a puszczam tylko to co pozwole!

A co do moich pytań -- dlaczego tak to robisz, w ten sposób?
no i dalej puszcza - kuźwa - gdzieś wale byka.

LXVI

Tak

Też

Dokładnie

Nie wiem. Tak zrobiłem i zadziałało
Najpierw zablokowałem sobie dojścia do jednego WAN host IP. Potem zrobiłem zakres IP jak wyżej.
Najpierw blokowałem wszystkie porty a później tylko https i jak chciałeś też http do dodałem port 80 z całym zakresem IP i zrobiłem nową regułę.
Blokuję tylko jednego hosta a drugiego mam cały czas odblokowanego.

Rozumiem już sposób i "etymologie" i chciałbym też tak jak Ty!! :slight_smile:
Przez długie lata działałem na serwerach ISA Microsoftu - więc jestem przyzwyczajony do różnych dziwactw.
Dlatego tez nie upieram się co do logiki - jeśli reguła działa adaptujemy aż mamy co chcemy
Tylko mi nie działa rzuć okiem host:oldiwo

ten zaznaczony
i definicje:



(sorki mam dwa monitory podłaczone!)

Ale wiesz co - jak u Ciebie z firewall IPv6 tam dublowałeś te reguły?

LXVI

IPv6 nie ruszałem.
Teraz musiałem wyjść i nie pamiętam czy tak samo mam wpisany wan host. Pokaż jak to masz wpisane.
Jaką masz wersję sprzętu? Ja ustawiałem na v1 z najnowszym softem

Wersja sprzetu i soft:
Device Information
Firmware Version:0.6.0 2.12 v000c.0 Build 140613 Rel.31066n
Hardware Version:TD-W8970 v1 00000000
System Up Time:9 day(s) 22:25:39
WAN host: jeden i drugi tak samo tylko nr portu raz 80 raz 443

Jakbyś wpadł na coś, to fajnie i tak dzięki za czas mi poświęcony, ja będę szukał jak znajdę to napisze.
LXVI

Wszystko wygląda OK.
Ja opiszę jak to robiłem po kolei:

  1. Włączam firewall ustawiając wszystko niezdefiniowane na Allow:
  2. Dodaję LAN hosta:

    Ważne tutaj aby MAC zgadzał się z tym jaki jest widziany przez router:
  3. Dodanie WAN hosta dla portu 443 i analogicznie dla 80:
  4. Ustawienie harmonogramu:
  5. Ustawienie reguły:

Po zapisaniu ustawień automatycznie utraciłem dostęp do http na docelowym komputerze. https działa, ale tylko wtedy kiedy adres jest wprowadzony bezpośrednio jako https. przekierowanie z http na https nie działa.
Po dodaniu takiej samej reguły tylko WAN host na porcie 443 komputer już nie otwierał stron http i https.

Jak na tak podstawowy router firewall działa w nim bardzo dobrze.

Sprzęt dla domu. Można by zrobić pojedynczy wpis blokując na nim zakres portów od 80 do 443 oraz dodając hostów po zakresie IP ( przypisanych jako statyczne dzierżawy w DHCP)

Dzięki za wysiłek!
Efekt końcowy, który opisujesz własnie by mnie interesował.
Przeanalizowałem.
No niby tak samo, a nie działa.

Czyli
ze wskazanego hosta lokalnego
blokujemy wyjście
na wszystkie kompy w Internecie
o każdej porze doby
po porcie 80 i 433 - logicznie się zgadza.


BTW. Ten pierwszy oktet musi być 223 - bo to jest koniec klasy C, wyżej D, E, - to przestrzeń adresowa zarezerwowana.

Dziwna sprawa.
Dodam jeszcze że ja mam tą samą wersję sprzętową z tym samym firmware.

Router mam ustawiony jako WAN bo nie mam łącza ADSL a ten egzemplarz W8970 którego mam ma upalony chip do ADSL.

Dzięki. Dobrze wiedzieć.

W ostateczności możesz wgrać na ten sprzęt OpenWRT/LEDE a tam możliwości firewalla są znacznie bogatsze.