• WindTre

  • Home&Life Hub - Dubbi / problemi sul firewall

Buongiorno a tutti!

Vi inoltro un dubbio che mi è sorto poco fa e non riesco a capire se sono io che ho frainteso la funzionalità del router o qualche altro problema...

Background: a casa ho un server con svariate VM ed applicazioni. La maggior parte di queste NON sono accessibili da internet, ma solo dalle rete locale, a cui accedo con una VPN.
Alcuni servizi / VM sono esposte, nello specifico, servizi HTTP ed HTTPS.

Questo è stato fatto tramite Port Forwarding (che funziona correttamente) ed in linea generale ho solamente tre regole di Port Forwarding: HTTP, HTTPS ed VPN (l'idea è quella di usare un reverse proxy per poi accedere a tutti i servizi interni)

Dopo aver configurato il NAT, sono andato in Sicurezza > Firewall dove ho creato prima il protocollo e successivamente le regole di accesso. Ed adesso arriviamo al problema.

I servizi HTTP ed HTTPS sono impostati su "RIFUTA" da tutti gli IP sorgenti con direzione "WAN to LAN", nonostante questo, se accedo al server configurato come reverse proxy lo vedo...
Ora, per definizione mi sarei aspettato di vedere un timeout o simili ma come detto accedo senza problemi.

Non è un vero e proprio problema in quanto sulla VM che funge da reverse proxy ho messo un firewall locale di base bloccando tutto tranne un paio di IP specifici, però mi fa strano che io riesca ad accedere nonostate le regole impostate.

Le cose sono due: o quelle regole lì non sono quello che credo oppure non vengono applicate.
La terza opzione è che io stia sbagliando completamente...

Qualcuno di voi ha esperianza / suggerimenti a riguardo?

Ripeto, non è un vero e proprio problema in quanto quello che non fa il router lo fa il firewall locale, e se il router dovesse avere di questi problemi, l'idea che avevo di utilizzare un firewall dedicato dietro al router si fa sempre più vicina!

Grazie a tutti!

    Kimbaras hai un sercomm o uno zyxel? (lo leggi sull'etichetta sul retro)

        handymenny

        Un Sercomm, modello WD300 per la precisione

            Kimbaras ah... Non mi stupirebbe se anche il firewall fosse "finto", cioè una cosa che c'è nelle interfaccia ma poi non funziona. È così anche per QoS e PPoE passthrough (ad esempio)

            Faresti vedere l'ACL che hai configurato?

                handymenny Non mi stupirebbe se anche il firewall fosse "finto", cioè una cosa che c'è nelle interfaccia ma poi non funziona. È così anche per QoS e PPoE passthrough (ad esempio)

                🤦

                  handymenny

                  Ah... benon...
                  Allora non sono io che sto sbagliando ma è proprio quello che non funziona...

                  Ne approfitto, visto che mi hai chiesto il modello, gli zyxel sono migliori da questo punto di vista?
                  Chiedo perchè questo qua mi è stato consegnato pochi giorni fa in quanto ho dovuto chiedere e riaprire la linea (il trasloco della linea non era disponibile...) ed ho ancora quello vecchio che è un zyxel (non saprei il modello però)

                  L'ACL è il seguente

                  l'IP .3 è ovviamente il reverse proxy in questione.
                  Se dovesse essere utile, questo il servizio (o protocollo come chiamato sul router)

                  PS: questa è la configurazione 1 di X, originariamente era
                  Porta sorgente: Singolo (80)

                  Cambiato per fare dei test e vedere se cambiava qualcosa.

                  Intanto grazie!

                      Kimbaras
                      Ho configurato questa per test sul mio zyxel e funziona, provi a vedere se anche a te va ? Così capiamo se il firewall funziona o meno

                      In pratica blocca http in uscita dall'ip 192.168.9.146

                      Kimbaras Ne approfitto, visto che mi hai chiesto il modello, gli zyxel sono migliori da questo punto di vista?

                      Praticamente quell'interfaccia lì è di zyxel e wind l'ha voluta su tutti i loro modem, è stato fatto un processo di adattamento per farla funzionare su quel sercomm ma il risultato è stato disastrono

                            handymenny

                            In uscita sembrerebbe funzionare, impostato come dal tuo esempio e con la regola attiva quando provo a fare un curl dall'IP che "bloccato" mi da un connection refused (corretto).

                            Per contro-prova ho disabilitato la regola, rifatto il curl e mi son trovato la pagina che mi aspettavo.

                            Quindi, si direi che almeno in uscita sembra funzionare.

                            handymenny Praticamente quell'interfaccia lì è di zyxel e wind l'ha voluta su tutti i loro modem, è stato fatto un processo di adattamento per farla funzionare su quel sercomm ma il risultato è stato disastrono

                            Beh, se questi sono i risultati direi proprio di si, il risultato è pessimo...

                                  Kimbaras Quindi, si direi che almeno in uscita sembra funzionare.

                                  Bene, quindi il problema dovrebbe essere nell'ACL. Hai provato ad usare la porta esterna che hai configurato nel port forwarding?

                                      handymenny

                                      La porta esterna del port forwarding è la 80, segue l'attuale configurazione

                                      Se provo a disabilitare il port forwading e tenera abilitata solo la regola acl (impostata come il primo screen di un paio di commenti fa) la richiesta mi va in timeout...

                                      PS: il livello del firewall è il default "medio"

                                      Che vadano in conflitto il port forwarding con l'acl?

                                          Kimbaras Che vadano in conflitto il port forwarding con l'acl?

                                          Forse il port forwarding forza l'allow, anche perché con firewall medio c'è un drop di default sul wan -> lan.
                                          Puoi provare a bloccare l'altro verso, cioè origine porta 80 lan -> wan

                                              handymenny Forse il port forwarding forza l'allow

                                              Potrebbe effettivamente essere così...

                                              Con la prova suggerita effettivamente ho bloccato l'uscita sulla 80, ma in entrata nessun problema

                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                P.I. IT16712091004 - info@fibraclick.it

                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile