Perguntas[firewall](computer)

O arquivo do meu servidor pf.confpossui estas linhas (entre outras para outros protocolos):

block in proto udp all
pass out proto udp all

Agora este servidor precisa verificar o estado de algumas máquinas vizinhas através de transmissão UDP:

• Abre um soquete UDP em qualquer endereço; o sistema operacional atribui uma porta a ele
• Ele usa este soquete para enviar uma mensagem UDP de transmissão para uma porta bem definida
• O host na mesma rede responde a esta mensagem com uma resposta unicast ou de transmissão para a mesma porta usada pelo servidor
• O servidor registra essas respostas e pode dizer se alguma das máquinas vizinhas está inoperante

Para dar um exemplo:

• Meu servidor 192.168.1.1 envia um pacote UDP192.168.1.1:52361 -> 192.168.1.255:4545
• Host 192.168.1.3 responde com192.168.1.3:4545 -> 192.168.1.1:52361
• Host 192.168.1.4 responde com192.168.1.4:37243 -> 192.168.1.1:52361
• Host 192.168.1.5 responde com192.168.1.5:4545 -> 255.255.255.255:52361
• O servidor registra que 192.168.1.{3,4,5} está instalado e funcionando.

Agora o problema é que a PF está impedindo que minha aplicação receba essas respostas. O Tcpdump mostra que as respostas estão chegando, mas o aplicativo não recebe nada. Se eu desabilitar o PF, recebo as respostas que espero.

O que posso adicionar pf.confpara obter as respostas?

Tenho dois computadores; um executando o gpsd e outro usando gpspipe -w 192.168.90.1para consultar os dados.

GPSD escuta na porta 2947 e quero bloqueá-la com iptables. Eu tentei muitas regras, mas ainda consigo ver a saída do gpspipe e não espero isso.

As principais regras com as quais comecei foram

iptables -A OUTPUT -o usb0 -p tcp --dport 2947 -j DROP
iptables -A OUTPUT -o usb0 -p udp --dport 2947 -j DROP
iptables -A INPUT -i usb0 -p tcp --dport 2947 -j DROP 
iptables -A INPUT -i usb0 -p udp --dport 2947 -j DROP 

Eu também tentei a FORWARDcorrente sem sorte. A página de manual do iptables também é confusa.

Eu preciso fazer com que nada saia na porta 2947, e o iptables parece completamente inepto nisso. Estou fazendo algo errado?

Estou configurando o serviço FTP em uma máquina Win 11 Pro. Habilitei as regras de FTP no Firewall do Windows Defender conforme abaixo:

No entanto, em um PC vizinho, não consegui fazer telnet para a porta 21. Mas se eu desligar totalmente o Firewall do Windows Defender, ele funcionará. Isso deve confirmar que o servidor FTP está funcionando bem.

Onde/o que mais poderia estar bloqueando o acesso ao FTP?

Em Geral/Ação em cada regra, a opção selecionada é Allow the connection.

Eu tenho uma rede secundária do meu roteador ER605, isso é usado para que o dispositivo conectado, um raspberry pi, possa ser isolado. Eu o uso para colocar em quarentena e digitalizar arquivos recebidos de fontes duvidosas (como meus sogros computadores perpetuamente afetados por malware). Preciso acessar o pi e exfiltrar arquivos digitalizados para minha rede principal. Pretendo usar o VNC para acesso e colocar arquivos ok'd diretamente no meu QNAP NAS via compartilhamento SMB.

A regra 5 da ACL bloqueia a comunicação da rede de quarentena para minha rede principal. Para obter o VNC para meu pi de quarentena da minha rede principal, inicialmente adicionei a regra 4, que era insuficiente (a leitura on-line sugeria que eu precisava de uma ACL para mensagens de retorno), então adicionei uma versão da regra 3 que fazia referência ao serviço VNC e que ainda falhou. Por capricho, tentei criar a definição de serviço VNC_duplex que troca a porta de origem e destino e alterar a regra nº 3 do serviço VNC para o duplex VNC, e viola VNC funcionou!

Estou muito feliz por isso estar funcionando, mas não tenho certeza do motivo ou se é seguro. Estou correto ao entender que a regra 3 da ACL permite que um script malicioso envie uma mensagem de qualquer porta no raspberry pi para a porta 5900 em qualquer dispositivo da minha rede principal? Qual é a maneira semântica de entender isso e poderia ser mais seguro?

Minha rede e VLANS:

Também configurei alguns intervalos de IP para descrever as áreas da minha rede às quais desejo segmentar/conceder acesso:

Meus tipos de serviço (os últimos quatro são personalizados por mim):

E finalmente meu ACL:

Tenho uma rede gerenciada com 40 usuários, 4 switches gerenciáveis, Vlans, wan dupla, vários pontos de acesso. Um servidor Proliant HPE está fornecendo serviços de rede e até mesmo expondo alguns sites à Internet aberta por meio de um proxy reverso (Nginx). Todos os PCs clientes na rede estão rodando em Linux ou Mac. Eu tenho um IP público estático. No total, eu diria uma rede de tamanho de pequena empresa.

Não tenho um firewall instalado e gostaria de saber se preciso de um. Até o momento, consegui implementar a segurança em cada uma das VMs expostas à Internet, bloqueando o SSH (chaves públicas e sem senhas), algumas regras no UFW. Não tenho roscas internas altas. Até agora, sobrevivi à internet selvagem.

Não estou a fim de instalar um firewall que tirasse as funções do meu roteador porque já estou acostumado e porque oferece boas ferramentas para gerenciar a rede nas nuvens (semelhante ao Ubiquiti). Estou pensando em instalar um firewall entre o roteador e os primeiros switches em modo transparente para não afetar as ferramentas de gerenciamento de rede disponíveis no roteador (Ruijie EG105G-V2).

Minha dúvida é: Eu realmente preciso de um firewall, e ele me traria algum benefício se instalado em modo transparente entre o roteador e o switch deixando o gerenciamento de DHCP/Vlans e encaminhamento de porta para o roteador? Finalmente, qual Firewall?

Sei que pode haver muito mais informações necessárias para me dar uma direção, no entanto, seus comentários serão apreciados.

Estou tentando tornar público um servidor https com SSL válido. Posso acessar meus sites localmente a partir do navegador do servidor. Então, está tudo bem. A página é carregada e o SSL parece ser válido. Mas quando acesso de outro computador recebo ERR_CONNECTION_TIMED_OUT.

Já adicionei a porta 443 nas regras de entrada no firewall do Windows e estou usando o IIS 10.

As conexões de saída são permitidas por padrão no Firewall do Windows, a menos que haja uma regra de bloqueio específica. O Windows tem muitas regras de permissão de saída que são habilitadas por padrão quando você o instala e nenhuma regra de saída de bloqueio. Quero entender o motivo por trás disso. parece que eles são desnecessários e sem nenhuma das regras de permissão, tudo deve funcionar bem.

Resumo: Configurei um Synology NAS e gostaria de colocá-lo no porão, próximo ao modem a cabo. Meu problema é que, embora eu possa acessar sua interface do usuário da Web, as conexões CIFS/SMB apenas expiram. Isso muda assim que coloco o NAS na sala de estar (diferente sub-rede), então suspeito que os pacotes CIFS sejam filtrados, mas não sei onde.

Detalhes: Eu uso um roteador FRITZ!Box 4040 no centro da minha casa para WiFi etc. Todos os computadores comuns, impressoras, dispositivos móveis etc. estão na sub-rede deste roteador (192.168.178.1/24).

Este roteador tem uma conexão LAN com fio ao roteador a cabo Vodafone no porão ("Vodafone Station", acho que não tenho detalhes valiosos de hardware) que gerencia 192.168.0.1/24.

Eliminação de Problemas: Eu sei que meu problema não é sobre resolução de nomes; Configurei entradas DNS locais para acessar a interface do usuário da web do NAS ("DSM" 7.1-42661 Atualização 1) e posso acessá-la tanto por nome quanto por endereço IP (em ambas as sub-redes). Também sei que o serviço SMB funciona bem, pois posso acessar compartilhamentos em uma sub-rede ao conectar o NAS ao outro roteador. Desativei completamente o firewall no Synology NAS.

Não tenho certeza se isso é útil, mas tentei verificar o status da porta com nmap:

% sudo nmap 192.168.0.228 -sU -pU:137-139
Starting Nmap 7.93 ( https://nmap.org ) at 2022-10-02 16:59 CEST
Nmap scan report for REDACTED (192.168.0.228)
Host is up (0.018s latency).

PORT    STATE         SERVICE
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn

Nmap done: 1 IP address (1 host up) scanned in 4.37 seconds

Li que outros executam seu Synology NAS em uma sub-rede diferente e que deve funcionar em geral.

Observe que estou tentando me conectar do MacOS, via smb://<username>@192.168.0.228URLs. (Eu poderia tentar encontrar um notebook Windows, mas acredito que essa abordagem para conectar deve ser tão robusta quanto as outras, principalmente porque não confio em nenhuma descoberta automática.)

Perguntas: Você tem alguma idéia sobre como depurar isso ainda mais? Devo saber sobre algum problema/limitação óbvio?

Existe alguma maneira de instruir o firewall do Windows a enviar pacotes de redefinição para uma conexão TCP bloqueada em vez de descartar o pacote?

Eu tenho uma configuração "cliente-servidor" composta por um computador servidor Wireguard e um cliente, ambos sob seus respectivos NAT. Eu quero que eles se comuniquem sem encaminhamento de porta no roteador do cliente. Obviamente, ainda preciso de encaminhamento de porta no roteador do servidor.

De acordo com este comentário , pode-se aproveitar o firewall UDP com estado se as respostas do servidor vierem da mesma porta que o cliente usou para alcançá-lo. Para fazer isso, configurei ListenPortpara 58120 em ambas as extremidades:

[Interface]
ListenPort = 51820
...snip...

Agora, com tcpdumpexecutado no roteador do cliente, posso provar que os pacotes estão saindo com a porta de origem 51820 e a porta de destino 51820. O mesmo com tcpdumpexecutado no roteador do servidor: pacotes de saída com origem e destino definidos para 51820.

No entanto, na direção de entrada, o roteador do cliente mostra que os pacotes vêm da porta 1025. Parece que o NAT do lado do servidor mudou a porta 51820 para 1025. Isso ocorre porque a porta 51820 já está ocupada pelo encaminhamento de porta? Como posso ter portas de origem e destino iguais para que o roteador do cliente detecte uma "conexão" UDP?

Detalhe da implementação: firewalls e NATs são controlados por iptables.