NAS - pristup ze subnetu

[Mike]

Ahoj,

rad bych pozadal o radu s nastavenim FW pravidel na RB532.

Situace:
Mam NAS Synology, pripojeny do LAN (ETH3) na ktery vidim, kdyz pouziji prohlizec, zadam IP NAS serveru (192.168.20.4) z PC (192.168.10.20) - ETH2, NTB/Mobilu (WLAN1).
Kazdy Interface ma vlastni DHCP.

Jde mi to, pripojit si share na NASu jako disk na PC/NTB (WIN7). Zkousel jsem zadat jak nazev serveru, tak IP, a bez uspechu. Kdyz jsem zkousel pouzit Synology Assistent, tak take NAS nenasel.

nastaveni FW

Kód: Vybrat vše

/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d \
    tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=\
    10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=input comment="Povoleni pristupu z vnitrni site" disabled=no src-address=192.168.10.0/24
add action=accept chain=input disabled=no src-address=192.168.20.0/24
add action=accept chain=input disabled=no src-address=192.168.30.0/24
add action=jump chain=forward comment="kontrola VIRY" disabled=no jump-target=virus
add action=drop chain=virus disabled=no dst-port=69 protocol=tcp
add action=drop chain=virus disabled=no dst-port=111 protocol=tcp
add action=drop chain=virus disabled=no dst-port=111 protocol=udp
add action=drop chain=virus disabled=no dst-port=135-139 protocol=tcp
add action=drop chain=virus disabled=no dst-port=135-139 protocol=udp
add action=drop chain=virus disabled=no dst-port=444-445 protocol=tcp
add action=drop chain=virus disabled=no dst-port=444-445 protocol=udp
add action=drop chain=virus disabled=no dst-port=593 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1024-1030 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1080 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1214 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1363-1364 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1368 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1373 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1377 protocol=tcp
add action=drop chain=virus disabled=no dst-port=1433-1434 protocol=tcp
add action=drop chain=virus disabled=no dst-port=2045 protocol=tcp
add action=drop chain=virus disabled=no dst-port=2045 protocol=udp
add action=drop chain=virus disabled=no dst-port=2283 protocol=tcp
add action=drop chain=virus disabled=no dst-port=2535 protocol=tcp
add action=drop chain=virus disabled=no dst-port=2745 protocol=tcp
add action=drop chain=virus disabled=no dst-port=2745 protocol=udp
add action=drop chain=virus disabled=no dst-port=3127-3128 protocol=tcp
add action=drop chain=virus disabled=no dst-port=3133 protocol=tcp
add action=drop chain=virus disabled=no dst-port=3133 protocol=udp
add action=drop chain=virus disabled=no dst-port=3410 protocol=tcp
add action=drop chain=virus disabled=no dst-port=4444 protocol=udp
add action=drop chain=virus disabled=no dst-port=4444 protocol=tcp
add action=drop chain=virus disabled=no dst-port=5554 protocol=tcp
add action=drop chain=virus disabled=no dst-port=8866 protocol=tcp
add action=drop chain=virus disabled=no dst-port=9898 protocol=tcp
add action=drop chain=virus disabled=no dst-port=10000 protocol=tcp
add action=drop chain=virus disabled=no dst-port=10080 protocol=tcp
add action=drop chain=virus disabled=no dst-port=12345-12346 protocol=tcp
add action=drop chain=virus disabled=no dst-port=17300 protocol=tcp
add action=drop chain=virus disabled=no dst-port=17940 protocol=tcp
add action=drop chain=virus disabled=no dst-port=20034 protocol=tcp
add action=drop chain=virus disabled=no dst-port=27374 protocol=tcp
add action=drop chain=virus disabled=no dst-port=33322 protocol=tcp
add action=drop chain=virus disabled=no dst-port=65506 protocol=tcp
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" disabled=no protocol=icmp
add action=accept chain=input comment="SSH for secure shell" disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment=winbox disabled=no dst-port=8291 protocol=tcp
add action=accept chain=input comment=VOIP disabled=no dst-port=10000-20000 protocol=udp src-port=10000-20000
add action=drop chain=input comment="Zahazovani Invalid Packets" connection-state=invalid disabled=no
add action=accept chain=input comment="Accept established packet" connection-state=established disabled=no
add action=accept chain=input comment="Accept related packet" connection-state=related disabled=no
add action=add-src-to-address-list address-list=port_scan address-list-timeout=5d chain=input comment="Port Scan Filter" disabled=no protocol=tcp \
    src-address-list=!port_scan
add action=drop chain=input comment="Drop enything else" disabled=no in-interface=ether1
add action=accept chain=forward comment="Established Connection Accept" connection-state=established disabled=no in-interface=ether1
add action=log chain=forward comment="Log everything else" disabled=no in-interface=ether1 log-prefix="DROP INPUT"
add action=drop chain=forward disabled=no in-interface=ether1

/ip firewall mangle
add action=mark-connection chain=forward disabled=no new-connection-mark=p2p_conn p2p=all-p2p passthrough=yes
add action=mark-packet chain=forward connection-mark=p2p_conn disabled=no new-packet-mark=p2p passthrough=yes
add action=mark-packet chain=forward connection-mark=!p2p_conn disabled=no new-packet-mark=other passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1 src-address=192.168.10.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1 src-address=192.168.20.0/24
add action=masquerade chain=srcnat disabled=no out-interface=ether1 src-address=192.168.30.0/24



Dale bych poprosil o radu s pravidlem, aby se me na NAS nikdo nedostal z venku. Pripadne zakazat, aby se sam vykecaval do Internetu (ETH1)
Budu velmi rad za rady, pripadne napady co mam zmenit v konfiguraci, tak abych NAS mohl pripojit jako disk ve WIN7.

Diky moc

Mike

[ludvik]

Zablokovaný forward mezi těmi subnety nemáš, vidím-li dobře ... Čili musí jet naprosto vše. Bohužel tam máš obecně napsaný "virus", kde si blokuješ TCP/445. Což je právě samba (neboli CIFS, neboli microsoftí sdílení). Omez to jen na in-interface=WAN

Omezení musí být na ve forward chainu za ESTABLISHED řádkem (dodej tam ještě RELATED). Pokud tam dáš jednoduchý DROP na pakety přicházející z WAN, tak máš zakázaný přístup komplet z internetu. No a mezi těmito pravidly se uvádí povolovací věci které fungovat mají.

Doporučuji si to srovnat. První blok řádků třeba INPUT, za tím FORWARD (myslím chainy) a na konci teprve ty ostatní. Pěkně za sebou. Ať je rychle poznat kde co začíná a končí.

Input by měl také začínat řádky ESTABLISHED a RELATED. Další řádky (tak jako na tom forwardu) udělají povolení toho, co má fungovat a na konec se dá DROP, aby nešlo nic jiného. Z pohledu WAN můžeš povolit teoreticky jen ICMP protokol a nic víc nepotřebuješ. Z pohledu LAN, pokud nevíš, co děláš, můžeš povolit všechno.

Nějak ovšem nevím, proč doma používáš zbytečně dva subnety. Nic ti to nepřináší, dle mě. A jenom nutíš ten routerboard routovat přes CPU, místo abys použil switch (tedy ve tvém případě spíš bridge). To tě zbaví problémů, kdy se něco někam nemůže dostat. Moderní je na všechno používat uživatelsky automatiku ... klient pošle broadcast či multicast a čeká, zda se mu zařízení ozve. Pokud routuješ, tak odpověď nedostane a musíš vše nastavit vlastně ručně. Což někdy ani nemusí jít.

Teorií o firewallech je na internetu (i zde) spousta. Doporučuji trochu nastudovat.

[Mike]

Diky za info, a revizi nastaveni.

Ponastavuju, a predelam podle doporuceni.

Diky moc

M.

[Mike]

Zdravim,

mam jeste dotaz. ETH2 a ETH3 jsem dal do Bridge, Mam jednu LAN a WiFi.
Kdyz ale kopiruju/synchronizuju (NAS/NTB) at uz v ramci LAN, nebo z WiFi na LAN, tzn. NTB (LAN/Wifi) na NAS (LAN) tak vzdy vyletne vyuzit RB532 na 100%. Po tu dobu je pristup na NET z jinych pripojenych devices uplne nanic. V profileru je nejvice vytizeno "queuing" v Obou pripadech, pritom zadne Queues nadefinovane nemam.

Vzhledem k tomu, ze RB532 je prece jen uz starsi kousek, tak jsem zvazoval 2 Varianty:
1. Koupit switch - to ale neresi vytizeni pri pouziti WiFi
2. Koupit RB951G-2HnD - ETH porty podporuji "SwitchChip Features" takze by to asi resilo vytezovani CPU pri Synchronizaci LAN-LAN; Otazka je jak se bude chovat pri SYN WiFi-LAN. Verim, ze sve bude hrat i procesor (u RB532 264 MHz vs 600 MHz u RB951).

Takze ted k dotazu - je ono vytezovani Normalni? Je resenim nakup noveho RB?

Diky za pomoc

M.

[ludvik]

Vytížit 532 není žádný problém. Cokoliv jiného bude lepší (nebude-li to zrovna 133 nebo WRAP).

[Myghael]

RB532 využívám jako domácí Wi-Fi stále, a vytížit ji opravdu není problém (v mém případě stačí, RB133 jsem na to měl předtím a už nestačila). Na toto využití už to chce opravdu něco lepšího, třeba tu RB951G-2HnD.