Почему какая-то сетевая активность не блокируется для заблокированного региона?

Почему какая-то сетевая активность не блокируется для заблокированного региона?, UniFi Network

pnicolay

Guest

01.06.2025 17:34:00

Если я захожу в Insights и проверяю трафик для какой-то страны (но вижу что-то похожее и для других стран тоже), то вижу, что 99.9% соединений заблокированы (как и ожидалось), однако есть ещё два, у которых статус "Allow"??? Один – это UDP-соединение с NTP-сервером (порт 123), а другой – ICMP-соединение.

travis.vitek

Guest

08.06.2025 16:19:00

Учитывая правила, описанные выше, установленный/связанный трафик явно разрешен до блокировки страны. Неважно, блокируете ли вы оба направления; если трафик установлен/связан, он пройдет. Если брандмауэр определяет, что трафик установлен или связан с существующим потоком трафика, он будет разрешен. Это может произойти, если клиент использует один и тот же исходный адрес и исходный порт для связи с одним и тем же хостом назначения и портом назначения, и делает это чаще, чем значение nf_conntrack_udp_timeout. Как я уже говорил выше, вам нужно немного покопаться в разрешенном трафике, чтобы понять, что происходит. Это должно помочь вам разобраться.

pnicolay Guest	#3 03.06.2025 19:14:00 Как это может сопоставляться с уже установленными/связанными, если я заблокировал обе стороны?

travis.vitek

Guest

02.06.2025 14:54:00

Чтобы понять, почему трафик разрешен, нужно изучить разрешенные правила. Сгенерированные правила файрвола довольно простые.

Цель протокол опция источник назначение
RETURN все -- 0.0.0.0/0 0.0.0.0
RETURN все -- 0.0.0.0/0 255.255.255.255
RETURN все -- 0.0.0.0/0 10.0.0.0/8
RETURN все -- 0.0.0.0/0 172.16.0.0/12
RETURN все -- 0.0.0.0/0 192.168.0.0/16
RETURN все -- 0.0.0.0/0 100.64.0.0/10
RETURN все -- 0.0.0.0/0 169.254.0.0/16
RETURN все -- 0.0.0.0/0 127.0.0.0/8
RETURN все -- 0.0.0.0/0 192.168.0.0/24
RETURN все -- 0.0.0.0/0 192.168.0.0/24
RETURN все -- 0.0.0.0/0 192.168.10.0/24
RETURN все -- 0.0.0.0/0 192.168.20.0/24
RETURN все -- 0.0.0.0/0 192.168.30.0/24
RETURN все -- 0.0.0.0/0 192.168.40.0/24
RETURN все -- 0.0.0.0/0 192.168.50.0/29
RETURN все -- 0.0.0.0/0 XX.XX.XX.XX/23
RETURN все -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
NFLOG все -- 0.0.0.0/0 0.0.0.0/0 -m geoip --destination-country CN state NEW limit: avg 50/sec burst 100 nflog-prefix "[UBIOS_OUT_GEOIP] DESCR=\"drop action\"" nflog-group 2 nflog-threshold 16
DROP все -- 0.0.0.0/0 0.0.0.0/0 -m geoip --destination-country CN
RETURN все -- 0.0.0.0/0 0.0.0.0/0

Оно разрешает трафик для определенных сетей, конкретных локальных сетей (включая подсеть провайдера), а затем разрешает установленные/связанные соединения. Похоже, что трафик проходит, потому что соответствует условию "установленное/связанное".

pnicolay

Guest

02.06.2025 06:22:00

Блокировка настраивается через Configure, Cybersecure, Region Blocking, Both directions и целый ряд стран.

Так вот, вопрос в следующем: почему среди сотен заблокированных соединений иногда встречается один единственный разрешенный ???

travis.vitek Guest	#6 01.06.2025 18:05:00 Вы нам не рассказали, как именно у вас настроено блокирование по регионам, и ничего не сказали о заблокированном трафике. Вы блокируете входящий, исходящий или оба? Заблокированный трафик – входящий, исходящий или оба? Я включил блокирование по регионам для обоих направлений с Китаем, затем протестировал HTTPS, ICMP и NTP из командной строки на Windows-машине. C:\Users\Travis>curl https://www.gov.cn ^C C:\Users\Travis>ping 39.156.66.10 Pinging 39.156.66.10 with 32 bytes of data: Request timed out. Ping statistics for 39.156.66.10: Packets: Sent = 1, Received = 0, Lost = 1 (100% loss), Control-C ^C C:\Users\Travis>w32tm /stripchart /computer:ntp.aliyun.com /dataonly /samples:1 Tracking ntp.aliyun.com [203.107.6.88:123]. Collecting 1 samples. The current time is 6/1/2025 11:04:12 AM. 11:04:12, error: 0x800705B4 Я вижу это в своих Flows...

Читают тему (гостей: 1)