❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Firewall - Hospoda

Návody a problémy s konfigurací.
Odpovědět
ikk
Příspěvky: 179
Registrován: 17 years ago
Kontaktovat uživatele:
Kontaktovat uživatele ikk

Firewall - Hospoda

Příspěvekod ikk » 8 years ago

Ahoj :)
Mam dotaz. Co byste povolili v FW hotovi v hospodě ať neudělá nějakou neplechu. Jedná se mi o to aby zákaznici měly jen "obyč" internet (www, FC, youtube ....) a nevymýšlely hlouposti. Síť pro chod hospody (pokladny, tiskárny...) je od sítě hostů zcela oddělená.

Předem děkuji za vaše návrhy,
0 x
Síť není jen internet ...
Nahoru
Uživatelský avatar
Fang
Příspěvky: 109
Registrován: 19 years ago
Kontaktovat uživatele:
Kontaktovat uživatele Fang

Příspěvekod Fang » 8 years ago

Já mám na naší free wifi (IT firma) povoleny jen nejběžnější služby jako je web (HTTP+S) všechny běžnější VPN ("PPTP", L2TP/IPSEC, OpenVPN), FTP, SSH a vše ostatní je zakázaný. Zatím jsem za více než rok provozu nezaznamenal že by si nějaká návštěva stěžovala že něco nejde.
0 x
Nahoru
sestnastka
Příspěvky: 27
Registrován: 9 years ago

Příspěvekod sestnastka » 8 years ago

Mam tam na kazdy interaface iny subnet ale to si uz povymazujes, resp. upravis sam...

192.168.60.0/24 je virtual AP pre navstevy...

Rovno upozornujem, ze som zacaitocnik a rad uvitam akekolvek rady, ci tam nieco nemam naviac alebo nieco doplnit.. tymto dopredu dakujem!

Kód: Vybrat vše

0 XI  chain=forward action=fasttrack-connection log=no log-prefix=""

 1    chain=forward action=accept connection-state=established in-interface=ether1

 2    chain=forward action=accept connection-state=related in-interface=ether1

 3    chain=forward action=accept connection-state=established,related log=no log-prefix=""

 4    ;;; PINGUJESE ZIJES!
      chain=input action=accept protocol=icmp log=no log-prefix=""

 5    chain=input action=accept connection-state=established

 6    chain=input action=accept connection-state=related

 7    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

 8    ;;; POVOLIT PPTP na port 1723
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

 9    ;;; POVOLIT PPTP na protocole 47
      chain=input action=accept protocol=gre log=no log-prefix=""

10    ;;; Povol DNS navsteve cez TCP
      chain=input action=accept protocol=tcp src-address=192.168.60.0/24 dst-port=53 log=no
      log-prefix=""

11    ;;; Povol DNS navsteve cez TCP
      chain=input action=accept protocol=udp src-address=192.168.60.0/24 dst-port=53 log=no
      log-prefix=""

12    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=53
      log=no log-prefix=""

13    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=53
      log=no log-prefix=""

14    ;;; ZAKAZ WEB Z VONKU
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix=""

15    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.60.0/24 log=no log-prefix=""

16    ;;; SUKROMIE JE CENNE
      chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.2.0/24 log=no log-prefix=""

17    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.3.0/24 log=no log-prefix=""

18    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.4.0/24 log=no log-prefix=""

19    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.5.0/24 log=no log-prefix=""

20    chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.168.60.0/24
      dst-address=192.168.24.0/24 log=no log-prefix=""

21    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
      dst-address=192.168.50.0/24 log=no log-prefix=""

22    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

23    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1
      log=no log-prefix=""

24    chain=input action=drop in-interface=ether1 log=no log-prefix=""
0 x
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 8 years ago

Pokud je síť hostů oddělená, tak proč zbytečně něco omezovat?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Uživatelský avatar
honzam
Příspěvky: 5527
Registrován: 18 years ago

Příspěvekod honzam » 8 years ago

Třeba aby z té sítě někdo zbytečně nespamoval?
0 x
Nahoru
ikk
Příspěvky: 179
Registrován: 17 years ago
Kontaktovat uživatele:
Kontaktovat uživatele ikk

Příspěvekod ikk » 8 years ago

honzam píše:Třeba aby z té sítě někdo zbytečně nespamoval?


Třeba. Nebo něco jiného, co napadne člověka z dlouhé chvíle.
0 x
Síť není jen internet ...
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 8 years ago

A jak tomu zabráníš? Zakážeš tam SMTP? Nastavíš limit za vteřinu? To lze ... ale stejně něco pošle a klidně může jednou konexí.
Jak definuješ škodlivou činnost? Velice, velice špatně ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Odpovědět

Zpět na „Konfigurace“