Author Topic: Firewall Port Forwarding  (Read 1862 times)

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Firewall Port Forwarding
« on: February 18, 2016, 11:04:27 am »
Всем привет!

Может быть кто-то тоже сталкивался и сможет дать подсказку. Почему иногда не срабатывают правила файервала? Zentyal 3.3.10

Симптомы:

В зенчале всё вроде нормально настроено, работает как роутер, проброс портов по серверам в обе стороны функционирует без проблем. Решил создать чёрный список IP адресов и перенаправлять их на неиспользуемый IP чтобы выдавало ошибку недоступности хоста по причине отсутствия пути (банить спамеров)... сделал объект "BLOCKED_IP" а в "Port Forwarding" забил для каждого внешнего интерфейса по правилу (чтобы "банило" с любого входа) следующего вида:

Interface: eth3
Original destination: Zentyal
Protocol: All
Original destination port: any
Source: BLOCKED_IP
Destination IP: 192.168.1.13
Port: Same
Replace source address: нет
Log: нет
Description: баним спам

И конечно же разместил эти правила самыми первыми в списке (кто не знает поясню, что имеет значение очерёдность в правилах и выполняется только первое подходящее).

Тестирование показывает что всё гуд, адреса таким образом блокируются.

Дальше в течении какого-то времени собираю почту, анализирую скриптами логи и сами тела и что же я вижу? Заблокированные адреса продолжают пробиваться не смотря ни на что! В логе кернела роутера лежат цепи iptables (логов быть не должно т.к. перенаправляет на 13-й адрес без логов дабы не засирать)!!! О_о

Feb 18 03:57:04 router kernel: [1173832.156750] zentyal-firewall redirect IN=eth3 OUT=eth4 MAC=00:1b:21:8d:a0:8d:00:14:1b:c6:e8:00:08:00 SRC=136.243.111.18 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=47250 DF PROTO=TCP SPT=40991 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0 MARK=0x2

... из лога вытекает - игнорится предыдущее правило перенаправления на 13-й адрес и выполняется следующее правило где перенаправление идёт на 1-й адрес (собственно поэтому и попало в лог).

Что за #@* мазер фазер
« Last Edit: February 18, 2016, 11:24:45 am by luha »

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Firewall Port Forwarding
« Reply #1 on: February 18, 2016, 02:39:33 pm »
Сел тестировать и есть новая информация.

Попробовал создать ещё правила, в которых в качестве первоночальной цели для интерфейса указан не зенчал (в этом случае он должен на все адреса работать), а конкретный IP... и так для всех почтовых серверов. Включил поочерёдно ведение логов для интересующих правил, чтобы посмотреть какое из них работает, а какое нет.

ИТОГ:
- Срабатывает на всех правилах, но не всегда!
- Добавление дополнительных правил уменьшило "дырявость" поскольку если не сработает первое, то следом идёт ещё одно такое-же правило и с определённой вероятностью сработает второе. Короче шанс проскочить уменьшается с увеличением числа настроенных фильтров.
- Шанс срабатывания при указании конкретного IP ощутимо выше (редкие пропуски)! Тоесть лучше настраивать редирект каждого IP по отдельности, а не кучей (а-ля на зенчал).

Всё это здорово, но почему же не достаточно один раз настроить условие? Что это за лажа такая и от чего зависит? Может влияет то, что настроено много сетевух, внутренних и внешних, а зенчал в реальности способен нормально обслужить только простой вариант "одна наружу - одна внутрь"? А балансировку видать сделали по приколу, чтобы запутать в конец (всёравно в реальности не применимо).

Теперь вот начинаю сомневаться в надёжности остальных редиректов. Если так же "через раз" срабатывает боевой проброс портов то я иду искать другое решение для роутера.

:(
« Last Edit: February 19, 2016, 09:31:14 am by luha »

logdog

  • Zen Hero
  • *****
  • Posts: 623
  • Karma: +29/-2
    • View Profile
Re: Firewall Port Forwarding
« Reply #2 on: February 20, 2016, 10:28:09 pm »
я иду искать другое решение для роутера.

:(

pfsence

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Firewall Port Forwarding
« Reply #3 on: February 22, 2016, 09:31:50 am »
Не. Правду говорят - самый лучший вариант это в iptables ручками правила писать. Но до этого конечно самому нужно дойти... и пока что вижу неизменную тенденцию перехода на голую консоль, минимум обвеса и максимум контроля. Скрипты наше всё!

ds

  • Zen Warrior
  • ***
  • Posts: 151
  • Karma: +1/-0
    • View Profile
Re: Firewall Port Forwarding
« Reply #4 on: February 24, 2016, 06:47:17 am »
>>самый лучший вариант это в iptables ручками правила писать.
не.. ты не прав :)
идеология зентиала, с которым ты воюешь уже продолжительное время, как раз была в том, что все рулится через вебморду и это комбайн :)

используя консоль ты тем самым подтверждаешь ненужность вебморды зентиала :)) и ДАЖЕ возможно ненужность зентиала для тебя вообще :))

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Firewall Port Forwarding
« Reply #5 on: February 24, 2016, 09:30:17 am »
У нас с вебмордой только три зенчала. Началось с того, что решили AD перевести на самбу, а чтобы быстро и удобно было выбрали зенчал. Дальше потестил как почта работает, подключили почту, вроде нормально - пользователи из AD подтягиваются в лучших традициях. А вот с чего вдруг решили роутер на зенчале строить не могу вразумительно ответить... никакого преимущества в этой морде нет, зато глюки есть.

corwin-mg

  • Zen Warrior
  • ***
  • Posts: 246
  • Karma: +1/-1
    • View Profile
Re: Firewall Port Forwarding
« Reply #6 on: March 06, 2016, 08:33:46 pm »
pfSense в качестве роутера - лучший.