classic.ISPforum.cz

Fórum československých telekomunikací
https://classic.ispforum.cz/

Firewall - Hospoda

https://classic.ispforum.cz/viewtopic.php?f=5&t=21633

Stránka 1 z 1

Firewall - Hospoda

Napsal: 27 Dec 2016 11:28
od ikk
Ahoj :)
Mam dotaz. Co byste povolili v FW hotovi v hospodě ať neudělá nějakou neplechu. Jedná se mi o to aby zákaznici měly jen "obyč" internet (www, FC, youtube ....) a nevymýšlely hlouposti. Síť pro chod hospody (pokladny, tiskárny...) je od sítě hostů zcela oddělená.

Předem děkuji za vaše návrhy,

Re: Firewall - Hospoda

Napsal: 27 Dec 2016 11:53
od Fang
Já mám na naší free wifi (IT firma) povoleny jen nejběžnější služby jako je web (HTTP+S) všechny běžnější VPN ("PPTP", L2TP/IPSEC, OpenVPN), FTP, SSH a vše ostatní je zakázaný. Zatím jsem za více než rok provozu nezaznamenal že by si nějaká návštěva stěžovala že něco nejde.

Re: Firewall - Hospoda

Napsal: 27 Dec 2016 12:04
od sestnastka
Mam tam na kazdy interaface iny subnet ale to si uz povymazujes, resp. upravis sam...

192.168.60.0/24 je virtual AP pre navstevy...

Rovno upozornujem, ze som zacaitocnik a rad uvitam akekolvek rady, ci tam nieco nemam naviac alebo nieco doplnit.. tymto dopredu dakujem!

Kód: Vybrat vše

0 XI  chain=forward action=fasttrack-connection log=no log-prefix=""

 1    chain=forward action=accept connection-state=established in-interface=ether1

 2    chain=forward action=accept connection-state=related in-interface=ether1

 3    chain=forward action=accept connection-state=established,related log=no log-prefix=""

 4    ;;; PINGUJESE ZIJES!
      chain=input action=accept protocol=icmp log=no log-prefix=""

 5    chain=input action=accept connection-state=established

 6    chain=input action=accept connection-state=related

 7    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

 8    ;;; POVOLIT PPTP na port 1723
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

 9    ;;; POVOLIT PPTP na protocole 47
      chain=input action=accept protocol=gre log=no log-prefix=""

10    ;;; Povol DNS navsteve cez TCP
      chain=input action=accept protocol=tcp src-address=192.168.60.0/24 dst-port=53 log=no
      log-prefix=""

11    ;;; Povol DNS navsteve cez TCP
      chain=input action=accept protocol=udp src-address=192.168.60.0/24 dst-port=53 log=no
      log-prefix=""

12    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=53
      log=no log-prefix=""

13    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=53
      log=no log-prefix=""

14    ;;; ZAKAZ WEB Z VONKU
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix=""

15    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.60.0/24 log=no log-prefix=""

16    ;;; SUKROMIE JE CENNE
      chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.2.0/24 log=no log-prefix=""

17    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.3.0/24 log=no log-prefix=""

18    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.4.0/24 log=no log-prefix=""

19    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.5.0/24 log=no log-prefix=""

20    chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.168.60.0/24
      dst-address=192.168.24.0/24 log=no log-prefix=""

21    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.50.0/24 log=no log-prefix=""

22    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

23    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1
      log=no log-prefix=""

24    chain=input action=drop in-interface=ether1 log=no log-prefix=""

Re: Firewall - Hospoda

Napsal: 27 Dec 2016 12:12
od ludvik
Pokud je síť hostů oddělená, tak proč zbytečně něco omezovat?

Re: Firewall - Hospoda

Napsal: 27 Dec 2016 18:29
od honzam
Třeba aby z té sítě někdo zbytečně nespamoval?

Re: Firewall - Hospoda

Napsal: 27 Dec 2016 19:41
od ikk
honzam píše:Třeba aby z té sítě někdo zbytečně nespamoval?


Třeba. Nebo něco jiného, co napadne člověka z dlouhé chvíle.

Re: Firewall - Hospoda

Napsal: 27 Dec 2016 20:01
od ludvik
A jak tomu zabráníš? Zakážeš tam SMTP? Nastavíš limit za vteřinu? To lze ... ale stejně něco pošle a klidně může jednou konexí.
Jak definuješ škodlivou činnost? Velice, velice špatně ...
Všechny časy jsou v UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/