Appello agli smanettoni di openWRT - Impostazioni Firewall

LinusCasp

Chiedo umilmente aiuto ai Docs/ Inge etc di openWRT. Ho controllato ma il "capitolo" Firewall in openWRT (LUCI) non è mai stato affrontato in questo forum (non ho trovato alcuna discussione da cui trarre info per aiuto).

PREMESSA: è noto agli addetti ai lavori che il firewall/ regole firewall in openWRT non è/ non sono la cosa più intuitiva di questo mondo. E' impostato a zone,

in cui bisogna includere/ escludere creando regole etc. Ora io smanettando per lavoro credo (sottolineo: credo/ penso) di aver scoperto di avere le porte 80 (associata a HTTP) e la porta 443 (associata a HTTPS) chiuse/ bloccate di default (io nella sezione "firewall" di LUCI non ho mai toccato nulla quindi deve essere per forza una impostazione di default) Me ne sono accorto cercando di collegarmi al Cloud Engenius, azienda con cui lavoro. Ecco qui:

PROBLEMA DA RISOLVERE: Da remoto i colleghi di Engenius mi hanno detto di creare delle regole Firewall ma non mi hanno saputo aiutare con questa interfaccia diabolica di LUCI:

Io in verità, onde non avere problemi in futuro con altri clienti/ fornitori ed essere libero di raggiungere qualsiasi servizio di Cloud/ altri servizi, vorrei aprire COMPLETAMENTE le porte 80 e 443, non creare una regola solo per Engenius. In sintesi: non voglio un firewall che mi rompa le balle mentre lavoro, voglio poter raggiungere tutto e tutti (tanto al lavoro non ho bambini che smanettano quindi ogni precauzione/ blocco è per me inutile). Qualcuno mi può aiutare a capire cosa mettere nelle singole voci dell'interfaccia riportata sopra. Gliene sarei eternamente grato.

compact

LinusCasp PROBLEMA DA RISOLVERE: Da remoto i colleghi di Engenius mi hanno detto di creare delle regole Firewall ma non mi hanno saputo aiutare con questa interfaccia diabolica di LUCI:

Ti posso assicurare che il firewall gestito da Openwrt in uscita permette tutte le connessioni
in entrata viceversa non sono ammesse connessioni (salvo che non hai modificato le impostazioni preesistenti)

ti rimando ad un video in inglese sul firewall (non creare regole per ora)
è solo per darti un idea sul funzionamento generale:
https://www.youtube.com/watch?v=UvniZs8q3eU

ti rimando anche alla documentazione di iptables (su Openwrt chiamato firewall3)
https://www.netfilter.org/documentation/

però ti avviso che adesso sui router attuali c'e' nftables (su Openwrt chiamato firewall4)
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page

per renderti conto di quale firewall hai sul router puoi dare il seguente comando:
opkg list-installed | grep firewall firewall4 - 2024.12.18~18fc0ead-r1 luci-app-firewall - 25.035.62793~4f7a183

detto questo i colleghi di Engenius cosa ti hanno detto che ti serve ?

se non te la senti di dirmi su questo forum pubblico cosa di hanno detto di fare puoi mandarmi un messaggio privato sul forum Openwrt il mio utente è:
https://forum.openwrt.org/search?expanded=true&q=ncompact&search_type=users

pattagghiu

secondo me è meglio se riparti da zero, installazione pulita, ti leggi un po' di documentazione su come funziona firewall4 e poi se hai un dubbio specifico chiedi
così è ingiocabile, questo post è pieno di mancanze, incongruenze e concetti confusi (o direttamente sbagliati), il tutto intramezzato da commenti su openwrt che lasciano il tempo che trovano.

(assumo quel "smanettando per lavoro" non voglia dire che per lavoro metti le mani sulle reti)

Edit: scusa ho visto ora che sei LinusCasp. Fai conto che non ti abbia risposto, perdonami, ho abboccato. dovevo accorgermene da quel "è noto agli addetti ai lavori" 😆

dueeventi

pattagghiu secondo me è meglio se riparti da zero

ripartire da zero magari no. Mollare tutto per 2/4 settimane studiarsi un po' come funziona IP, porte e NAT e poi tornare a capire cosa si è fatto, assolutamente si. Purtroppo i battesimi del firewall sono così: altrimenti configuri qualcosa che o non va (e magri è una sciocchezza) o va ma hai aperto la tua rete a mezzo mondo.

LinusCasp

compact

Grazie infinite per la risposta: si vede che hai dedicato tempo e pazienza per scriverla. Grazie! Si vede anche ne sai/ sei molto preparato: ad es. riporti documentazione iptables. Chi lavora con te/ ti ha come collaboratore deve ritenersi senz'altro una persona fortunata.

Dunque: Ieri notte sono riuscito a risolvere da solo non perché sono bravo, ma rifacendomi a documentazione che contiene degli esempi di regole firewall in openWRT/ LUCI molto simili a quella che dovevo impostare io (accedere ad un servizio Cloud sostanzialmente).

Il mio approccio di lavorare con le porte era sbagliato: mi deriva dalla mia formazione e quando si lavora con openWRT bisogna essere capaci di cambiare mentalità ed essere elastici. Non è che sia sbagliato associare "firewall ---> porte" ovviamente. Ma mi ero fissato su quali porte impostare nella mascherina/ interfaccia e ci ho perso un sacco di tempo (facendomi prendere anche un po' dal panico). Si è rivelato non necessario.

Mi chiedevi dei colleghi di Engenius: almeno quelli con cui ho avuto a che fare io sono fantastici, mi hanno dedicato un sacco di tempo e sono sempre disponibili. Nonostante io sia un rompiballe, non perdono mai la pazienza. Ovviamente non si può pretendere sappiano tutto su openWRT: non è il loro lavoro.

Ok ho risolto con Engenius. Ma mi rimane un cruccio/ dubbio/ perplessità relativamente ai servizi Cloud in generale e al comportamento del firewall openWRT/ LUCI con essi. Io ad esempio ho il servizio Cloud di Apple (non penso di essere l'unico) che pago: ho notato anche lì qualche incongruenza ieri. Mi spiego:

Ho più dispositivi Apple con un unico Apple ID ovviamente. Quando scarichi dall'app store una applicazione su un dispositivo A, se la vuoi anche nel dispositivo B, non la devi "scaricare" di nuovo dall'App Store ma la "ripigli" dal Cloud (non trovi infatti più il pulsante di download ma il simbolo della nuvoletta). Ecco ieri volevo fare proprio questa operazione (installare un' applicazione dall'app store che avevo in precedenza già scaricato su un altro dispositivo) e non ci sono riuscito (la rotellina girava a vuoto finché non è riapparsa la nuvoletta).

Devo quindi indagare: anche perchè - al di là delle applicazioni - sarebbe un grosso problema con il backup (che ho sempre su Cloud Apple) e la sincronizzazione tra i vari dispositivi. Sarebbe davvero un grosso problema, da studiare e segnalare ai miei clienti (con suggerimenti di creazione di regole firewall apposite per risolverlo).

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile