Eu tenho uma rede secundária do meu roteador ER605, isso é usado para que o dispositivo conectado, um raspberry pi, possa ser isolado. Eu o uso para colocar em quarentena e digitalizar arquivos recebidos de fontes duvidosas (como meus sogros computadores perpetuamente afetados por malware). Preciso acessar o pi e exfiltrar arquivos digitalizados para minha rede principal. Pretendo usar o VNC para acesso e colocar arquivos ok'd diretamente no meu QNAP NAS via compartilhamento SMB.
A regra 5 da ACL bloqueia a comunicação da rede de quarentena para minha rede principal. Para obter o VNC para meu pi de quarentena da minha rede principal, inicialmente adicionei a regra 4, que era insuficiente (a leitura on-line sugeria que eu precisava de uma ACL para mensagens de retorno), então adicionei uma versão da regra 3 que fazia referência ao serviço VNC e que ainda falhou. Por capricho, tentei criar a definição de serviço VNC_duplex que troca a porta de origem e destino e alterar a regra nº 3 do serviço VNC para o duplex VNC, e viola VNC funcionou!
Estou muito feliz por isso estar funcionando, mas não tenho certeza do motivo ou se é seguro. Estou correto ao entender que a regra 3 da ACL permite que um script malicioso envie uma mensagem de qualquer porta no raspberry pi para a porta 5900 em qualquer dispositivo da minha rede principal? Qual é a maneira semântica de entender isso e poderia ser mais seguro?
Minha rede e VLANS:
Também configurei alguns intervalos de IP para descrever as áreas da minha rede às quais desejo segmentar/conceder acesso:
Meus tipos de serviço (os últimos quatro são personalizados por mim):
E finalmente meu ACL:
