OpenWRT Firewarll INPUT Chainはすべてを許可しますか?


1

wanからsshのポートを開き、このチュートリアルで定義されているOpenVPNのルールを追加する以外、デフォルトのファイアウォールルールには何もしていません:http : //wiki.openwrt.org/doc/howto/vpn.openvpn、しかし、出力iptables -Lのために、意図したよりも多くのポートが開いたままになっていることを心配しています。以下に完全な出力を掲載しましたが、特に:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
syn_flood  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
input_rule  all  --  anywhere             anywhere
input      all  --  anywhere             anywhere
from the:
ACCEPT     all  --  anywhere             anywhere

ビットは、すべてがどこからでも受け入れられていることを意味しますか?

参照用の完全なIPテーブル出力:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
syn_flood  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
input_rule  all  --  anywhere             anywhere
input      all  --  anywhere             anywhere
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
forwarding_rule  all  --  anywhere             anywhere
forward    all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
output_rule  all  --  anywhere             anywhere
output     all  --  anywhere             anywhere
Chain forward (1 references)
target     prot opt source               destination
zone_lan_forward  all  --  anywhere             anywhere
zone_wan_forward  all  --  anywhere             anywhere
zone_vpn_forward  all  --  anywhere             anywhere
Chain forwarding_lan (1 references)
target     prot opt source               destination
Chain forwarding_rule (1 references)
target     prot opt source               destination
Chain forwarding_vpn (1 references)
target     prot opt source               destination
Chain forwarding_wan (1 references)
target     prot opt source               destination
Chain input (1 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
zone_lan   all  --  anywhere             anywhere
zone_wan   all  --  anywhere             anywhere
zone_vpn   all  --  anywhere             anywhere
Chain input_lan (1 references)
target     prot opt source               destination
Chain input_rule (1 references)
target     prot opt source               destination
Chain input_vpn (1 references)
target     prot opt source               destination
Chain input_wan (1 references)
target     prot opt source               destination
Chain output (1 references)
target     prot opt source               destination
zone_lan_ACCEPT  all  --  anywhere             anywhere
zone_wan_ACCEPT  all  --  anywhere             anywhere
zone_vpn_ACCEPT  all  --  anywhere             anywhere
Chain output_rule (1 references)
target     prot opt source               destination
Chain reject (7 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
Chain syn_flood (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50
DROP       all  --  anywhere             anywhere
Chain zone_lan (1 references)
target     prot opt source               destination
input_lan  all  --  anywhere             anywhere
zone_lan_ACCEPT  all  --  anywhere             anywhere
Chain zone_lan_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain zone_lan_DROP (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
Chain zone_lan_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain zone_lan_forward (1 references)
target     prot opt source               destination
zone_wan_ACCEPT  all  --  anywhere             anywhere
forwarding_lan  all  --  anywhere             anywhere
zone_lan_REJECT  all  --  anywhere             anywhere
Chain zone_vpn (1 references)
target     prot opt source               destination
input_vpn  all  --  anywhere             anywhere
zone_vpn_ACCEPT  all  --  anywhere             anywhere
Chain zone_vpn_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain zone_vpn_DROP (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
Chain zone_vpn_REJECT (0 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain zone_vpn_forward (1 references)
target     prot opt source               destination
zone_wan_ACCEPT  all  --  anywhere             anywhere
zone_lan_ACCEPT  all  --  anywhere             anywhere
forwarding_vpn  all  --  anywhere             anywhere
zone_vpn_ACCEPT  all  --  anywhere             anywhere
Chain zone_wan (1 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootpc
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:23232
input_wan  all  --  anywhere             anywhere
zone_wan_REJECT  all  --  anywhere             anywhere
Chain zone_wan_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Chain zone_wan_DROP (0 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
Chain zone_wan_REJECT (2 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere
reject     all  --  anywhere             anywhere
Chain zone_wan_forward (1 references)
target     prot opt source               destination
forwarding_wan  all  --  anywhere             anywhere
zone_wan_REJECT  all  --  anywhere             anywhere

iptablesの-nl --line-番号の出力を投稿してみてください
Kasun

回答:


1

申し訳ありませんが、ここで問題がどこにあるのかわかりません。はい、ファイアウォールはINPUTおよびFORWARDの両方でパケットを通過させることができます。これは、新しくインストールされたOpenWRTファイアウォールの標準構成であり、同じ構成でした。

基本的に、iptablesルールは順番に読み込まれます。最初から最後まで読み込み、適合する最初のルールが適用され、残りのルールもテストされません。すべてのルールがテストされ、どれも適合しない場合、デフォルトのポリシーが適用されます(たとえば、INPUTチェーンの場合、デフォルトのポリシーはACCEPTです)。

INPUTチェーンを例にとると、着信パケットは、既存の接続に関連しているかどうかを確認するためにテストされます。そうである場合、ルールが適用されるため、パケットは受け入れられます。そうでない場合(したがって、パケットはまだ確立されていない接続に属します)、2番目のルールに移動します。2番目のルールには満たすべき基準がないため、すべてのパケットがそれに適合します。したがって、それは適用され、その適用はACCEPTを意味します。

残りのルールは問題になりません。そのため、iptablesルールを永久に保存する前に慎重にチェックする必要があります。ルールを指定した順序は、適用される順序とは異なるため、不快な結果を引き起こす可能性があります。

この全体的なポリシー(最初に適合するルールが適用され、以下のルールは無視されます)は、たとえばカーネルがルーティングルールを適用するポリシーとは異なります:その場合、適合する最も制限的なルールが適用されます。ルーティングルールが保存されます。


おかげで、それはデフォルトでopenwrtファイアウォールが広く開かれているということですか?それは大きな問題だと思います。
レインキンズ14

@rainkinzはい、OpenWRTを最初にインストールするときに、それらが広く開かれていることを意味します。これが大きな問題であることに同意しません。それが広く開かれていることを発見すると、例えば、私が最初にやったようにかなりうまくロックダウンすることを余儀なくされました。ある種のハーフクローズファイアウォールを提示すると、誤ったセキュリティ感覚が誘発されると思います。
MariusMatutiae 14

再度、感謝します。それが広く開かれていることに少し驚いていますが、確立されていない限り、すべての着信トラフィックをブロックする「デフォルト」ルールの良いセットの提案があるとは思わないでしょうか?
レインキンズ

@rainkinz難しい質問です。基本的に、サービスがない場合(http、ssh、openvpn ...)、入ってくるものをすべてブロックできます(ESTABLISHED、RELATEDを除く)。フォワードについても同じこと。すべての出力を許可します。もっと明確にしたい場合は、こちらをお読みください:digitalocean.com/community/tutorials
MariusMatutiae

おかげで、私はそれを読んでいきます。1つの問題は、iptablesコマンドを使用して/ etc / config / firewallにconfigを作成するファイアウォールまたはuciを設定する必要があるかどうかわからないことです。uciを使用してファイアウォールを構成するチュートリアルがあり、wanからの入力を許可しない(確立された接続を除く)と言うのは素晴らしいことです。
レインキンズ14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.