Tp-link Archer C6 - Firewall

[hunter21]

Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.

[soban]

"Pochopit jeho práci"

Pár příkladu. Upravím v Network-Firewall pravidlo a musím jít do Status-firewall-restart firewall aby to fungovalo.

Panebože proč?

Upravím v Network-firewall pravidla a mám tam dvě tlačítka "Uložit a použít" a "uložit"
Když kliknu na uložit tak se to uloží do konfiguračního souboru, ale nezmění se aktuální stav, když kliknu na uložit a použít tak se to zase uloží do konfiguračního souboru a restartne se firewall a načte nové pravidla.

Stejně tak mam zálohu s IP 192.168.0.1 a nahraju ji na stroj kde je aktuální ip 192.168.1.1 tak se obnova neprovede.
Předpokládám, že chtít po něm aby se zálohoval automaticky je utopie.
O nějakém jednoduchém exportu dat do TXT, CSV vůbec nemluvím, přenos souboru marnost.

U mě když nahraji ze zálohy soubor tak to veme a přepíše a nestará se co bylo dříve...

Mě to připadá že to máš nějaké rozbité.....

Jinak konfigurační soubory jsou textové takže si s nimi můžeš dělat cokoliv.....

Kód: Vybrat vše

root@router:~# cat /etc/config/firewall

config rule
   option name 'Allow-DHCP-Renew'
   option src 'wan'
   option proto 'udp'
   option dest_port '68'
   option target 'ACCEPT'
   option family 'ipv4'

config rule
   option name 'Allow-Ping'
   option src 'wan'
   option proto 'icmp'
   option icmp_type 'echo-request'
   option family 'ipv4'
   option target 'ACCEPT'

config rule
   option name 'Allow-IGMP'
   option src 'wan'
   option proto 'igmp'
   option family 'ipv4'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option name 'Allow-DHCPv6'
   option src 'wan'
   option proto 'udp'
   option src_ip 'fc00::/6'
   option dest_ip 'fc00::/6'
   option dest_port '546'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-MLD'
   option src 'wan'
   option proto 'icmp'
   option src_ip 'fe80::/10'
   list icmp_type '130/0'
   list icmp_type '131/0'
   list icmp_type '132/0'
   list icmp_type '143/0'
   option family 'ipv6'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option name 'Allow-ICMPv6-Input'
   option src 'wan'
   option proto 'icmp'
   list icmp_type 'echo-request'
   list icmp_type 'echo-reply'
   list icmp_type 'destination-unreachable'
   list icmp_type 'packet-too-big'
   list icmp_type 'time-exceeded'
   list icmp_type 'bad-header'
   list icmp_type 'unknown-header-type'
   list icmp_type 'router-solicitation'
   list icmp_type 'neighbour-solicitation'
   list icmp_type 'router-advertisement'
   list icmp_type 'neighbour-advertisement'
   option limit '1000/sec'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-ICMPv6-Forward'
   option src 'wan'
   option dest '*'
   option proto 'icmp'
   list icmp_type 'echo-request'
   list icmp_type 'echo-reply'
   list icmp_type 'destination-unreachable'
   list icmp_type 'packet-too-big'
   list icmp_type 'time-exceeded'
   list icmp_type 'bad-header'
   list icmp_type 'unknown-header-type'
   option limit '1000/sec'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-IPSec-ESP'
   option src 'wan'
   option dest 'lan'
   option proto 'esp'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option name 'Allow-ISAKMP'
   option src 'wan'
   option dest 'lan'
   option dest_port '500'
   option proto 'udp'
   option target 'ACCEPT'
   option enabled '0'

config rule
   option target 'ACCEPT'
   option family 'ipv4'
   option name '6to4'
   option src 'wan'
   option proto '41'

config rule
   option target 'ACCEPT'
   option name '6in4 tunel'
   option src 'wan'
   option proto '41'
   option family 'ipv4'

config rule
   option target 'ACCEPT'
   option proto 'tcp'
   option dest_port '8585'
   option src 'wan'
   option name 'https router'

config rule
   option target 'ACCEPT'
   option proto 'tcp'
   option dest_port '443'
   option family 'ipv6'
   option name 'https_IPv6'
   option src 'wan'
   option dest 'lan'

config rule
   option target 'ACCEPT'
   option name 'Tvheadend'
   option family 'ipv6'
   option dest_port '9981'
   option proto 'tcp'
   option src '*'
   option dest '*'

config rule
   option target 'ACCEPT'
   option dest_port '9982'
   option name 'Tvheadend2'
   option family 'ipv6'
   option proto 'tcp'
   option src 'wan'
   option dest 'lan'
   option enabled '0'

config defaults
   option input 'DROP'
   option output 'DROP'
   option forward 'DROP'
   option drop_invalid '1'

config zone
   option name 'lan'
   option input 'ACCEPT'
   option output 'ACCEPT'
   option network 'lan'
   option forward 'ACCEPT'

config zone
   option name 'wan'
   option output 'ACCEPT'
   option masq '1'
   option network 'wan wan6'
   option input 'DROP'
   option forward 'DROP'

config include
   option path '/etc/firewall.user'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option proto 'tcp udp'
   option src_dport '6881'
   option dest_ip '192.168.1.11'
   option dest_port '6881'
   option name 'torent'
   option enabled '0'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option proto 'tcp'
   option src_dport '80'
   option dest_ip '192.168.1.2'
   option dest_port '80'
   option name 'switch'
   option src_ip '194.228.13.0/24'
   option enabled '0'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option dest_ip '192.168.1.12'
   option name 'Tvheadend'
   option src_dport '9981'
   option dest_port '9981'
   option proto 'tcp'

config redirect
   option target 'DNAT'
   option src 'wan'
   option dest 'lan'
   option src_dport '9982'
   option dest_ip '192.168.1.12'
   option dest_port '9982'
   option name 'Tvheadend2'
   option proto 'tcp'
   option enabled '0'

config forwarding
   option dest 'wan'
   option src 'lan'

root@router:~#


[WarCZ]

Ad firewall. Ono se to tváří, že to zafunguje na uložit a použít, ale vidím, že kamera stále funguje. až restart firewallu zafunguje na 100%.

a měníš zálohou nastavení Ip routru a DHCP server ? Asi jsem prostě první kdo nechce mít 192.168.1.1 ale 192.168.0.1...

-- 17. 6. 2019 20:30 --

Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.

Zatím mi zafungovalo tohle pravidlo:

[soban]

Jestli to nebude tím že používáš asi vývojovou řadu a tím pádem tam můžou být chybičky.

[WarCZ]

Mam verzi OpenWrt SNAPSHOT r10213-f6dab98044 / LuCI Master (f138fc93)

[Kysa]

A není to tím, že firewall funguje na nové spojení, ale ta kamera už má navázané spojení, takže se na to pravidlo neaplikuje?

Ad firewall. Ono se to tváří, že to zafunguje na uložit a použít, ale vidím, že kamera stále funguje. až restart firewallu zafunguje na 100%.

a měníš zálohou nastavení Ip routru a DHCP server ? Asi jsem prostě první kdo nechce mít 192.168.1.1 ale 192.168.0.1...

-- 17. 6. 2019 20:30 --

Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.

Zatím mi zafungovalo tohle pravidlo: