ATT-Fiber-BGW320-505 Ver2.14.4 и вопросы от новичка по ER-X

ATT-Fiber-BGW320-505 Ver2.14.4 и вопросы от новичка по ER-X, edgemax

mitchbnj

Guest

03.11.2021 13:47:00

В процессе настройки и создания изолированных сетей на моём ER-X-5. Пока ещё использую стандартные настройки от AT&T. У меня подключена и напрямую провайдирована U6-AP к одному из портов bgw320-505. Сеть создаю через ноутбук, подключаясь напрямую к ER-X-5, пока не почувствую, что всё почти готово.

Вот несколько общих вопросов:
Когда буду готов, на BGW320 я собираюсь:
- отключить все Wi-Fi сети
- отключить все фильтры пакетов
- отключить все правила фаервола
- отключить все назначения DHCP
- изменить настройки подсети/DHCP
- сменить локальный IP с 192.168.10.10 на 192.168.1.10 (уже больше 20 лет использую .10 для шлюзов!)
- перенести мою u6-Lite с ATT BGW320 на какой-то порт ER-X-5.

Вопрос: не упускаю ли я что-то важное?
В руководстве Майка Потта я сейчас на страницах 92-93 из примерно 193.

Ещё один общий вопрос, не уверен, правильно ли место для него:
Могу ли я настроить VPN-туннель на ER-X, чтобы шифровать весь трафик?
У меня есть ощущение (и неприятие) того, что крупные провайдеры обычно анализируют трафик.

Заранее спасибо. Надеюсь, что резервная копия с этого утра позволит продолжить.

BuckeyeNet

Guest

31.12.2021 07:42:00

rule 60 {
action drop
description "drop rfc1918 traffic"
log disable
protocol all
source {
group {
address-group RFC-1918+Group
}
}
}

show firewall name HOME_Out
#1 У меня нет правила 60.
Ты хочешь сказать, что мне нужно его создать? Если да, то для какого интерфейса?

rule 60 {
action drop
description "drop rfc1918 traffic"
log disable
protocol all
source {
group {
address-group RFC-1918+Group
}
}
}

#2 Вот (с большим опозданием) ответ про файрвол...
mb-admin@MitCheryls-Place:~$ show firewall name HOME_Out

IPv4 Firewall "HOME_Out":

Активен на (switch0,OUT)

rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 0 0
условие - состояние RELATED,ESTABLISHED match-set NETv4_switch0.7 src

20 accept all 0 0
условие - состояние RELATED,ESTABLISHED match-set NETv4_eth1 src

30 accept all 0 0
условие - состояние RELATED,ESTABLISHED match-set NETv4_switch0.6 src

50 accept all 0 0
условие - состояние RELATED,ESTABLISHED match-set NETv4_switch0.8 src

60 drop all 8476 1034492
условие - match-set RFC-1918+Group src

10000 accept all 887491 294083479

configure
set firewall name HOME_Out rule 55 action accept
set firewall name HOME_Out rule 55 description 'Allow ATT Established Replies'
set firewall name HOME_Out rule 55 log disable
set firewall name HOME_Out rule 55 protocol all
set firewall name HOME_Out rule 55 source group address-group NETv4_eth0
set firewall name HOME_Out rule 55 state established enable
set firewall name HOME_Out rule 55 state related enable
commit;save;exit

Честно говоря, у меня нет времени заново пытаться разобраться во всём и перечитывать все посты. Так что без попыток вникнуть в каждое сообщение могу сказать, что правило 60 блокирует доступ с адресов rfc1918 в вашу домашнюю локальную сеть. Мне кажется, ты говорил, что хочешь, чтобы трафик, который ты запросил, мог к тебе вернуться, но правило 60 блокирует этот обратный трафик, независимо от того, пытался ли хост в домашней сети установить связь.

Как я уже говорил, я не использую правила _OUT для внутренних сетей, я применяю правила _IN, чтобы блокировать трафик как можно раньше (выбрасываю гнилые фрукты перед тем, как мыть, а не после).

Тебе нужно понять, как работает файрвол. Минимум, что нужно изучить:

Layman's firewall explanation
В первом посте есть схема, объясняющая, что означают "in", "local" и "out". Вот расширенная версия этой схемы с большим количеством интерфейсов. В остальной части темы тоже есть полезная информация, но она растянулась на 5 страниц, и найти именно полезные посты занимает время.

karog's Firewall Basics
Объяснение работы файрвола в этой теме.

В предыдущем посте и в разделе Firewall references в ссылочной подборке есть ещё полезные ссылки.

BuckeyeNet

Guest

30.12.2021 23:01:00

Небольшое придирчивое отступление, так что его можно спокойно пропустить. Это ни в коем случае не связано с вашей проблемой, просто заметка о том, как лучше указывать даты на международном форуме. В данном случае дата роли не играет, но если дата важна, то использование однозначного формата может иметь значение, например, при бронировании отеля.

Поскольку это международный форум, лучше всего использовать формат даты ISO 8601 вместо двусмысленного формата xx-xx-xx (например, дата 11-10-21 может интерпретироваться по-разному). В вашем сообщении с configClean указана дата:

11-10-21: Время 11:19 AM
Моя чистая конфигурация на 11-10-21-T11:19

Предполагаю, вы имели в виду американскую интерпретацию — 10 ноября 2021 года (поскольку именно тогда вы это опубликовали). Но в большинстве других стран это будет воспринято как 11 октября 2021, а некоторые могут понять как 21 октября 2011.

Формат ISO 8601 был бы 2011-11-10 для 10 ноября 2011. Ещё одна приятная особенность этого формата в том, что даты правильно сортируются.

BuckeyeNet Guest	#4 30.12.2021 22:44:00 Правило 60 было скопировано из конфигурации, которую вы опубликовали здесь. Оно находится в наборе правил HOME_OUT (политика) и применяется к интерфейсу switch0.

mitchbnj

Guest

30.12.2021 22:29:00

rule 60 {
action drop
description "drop rfc1918 traffic"
log disable
protocol all
source {
group {
address-group RFC-1918+Group
}
}
}

Покажи firewall с именем HOME_Out

ОК. Сейчас спрошу про этот фрагмент кода, а потом про правило 55, о котором говорилось выше.

#1 У меня нет правила 60, вы здесь предлагаете создать его? Если да, то для какого интерфейса?

rule 60 {
action drop
description "drop rfc1918 traffic"
log disable
protocol all
source {
group {
address-group RFC-1918+Group
}
}
}

#2 Вот (очень с задержкой) ответ по firewall...

mb-admin@MitCheryls-Place:~$ show firewall name HOME_Out

IPv4 Firewall "HOME_Out":

Активен на (switch0, OUT)

rule action proto packets bytes
---- ------ ----- ------- -----
10 accept all 0 0
условие - state RELATED,ESTABLISHED match-set NETv4_switch0.7 src

20 accept all 0 0
условие - state RELATED,ESTABLISHED match-set NETv4_eth1 src

30 accept all 0 0
условие - state RELATED,ESTABLISHED match-set NETv4_switch0.6 src

50 accept all 0 0
условие - state RELATED,ESTABLISHED match-set NETv4_switch0.8 src

60 drop all 8476 1034492
условие - match-set RFC-1918+Group src

10000 accept all 887491 294083479

Итак, вопрос по пункту #2. Это показывает, что правило 60 — это на самом деле правило «отбросить всё».

Берём этот фрагмент кода:

configure
set firewall name HOME_Out rule 55 action accept
set firewall name HOME_Out rule 55 description 'Allow ATT Established Replies'
set firewall name HOME_Out rule 55 log disable
set firewall name HOME_Out rule 55 protocol all
set firewall name HOME_Out rule 55 source group address-group NETv4_eth0
set firewall name HOME_Out rule 55 state established enable
set firewall name HOME_Out rule 55 state related enable
commit; save; exit

Так что, мне надо добавить это правило, и оно ДОЛЖНО позволить связаться с моей старой сетью 192.168.10.0 из моей основной (новой) сети 192.168.3.0?

И следующий вопрос: стоит ли пока повременить и сделать это после обсуждения с Dlowe по поводу преобразования моей конфигурации под VLAN, или лучше сделать раньше?

Спасибо!

mitchbnj Guest	#6 02.12.2021 21:54:00 configure set firewall name HOME_Out rule 55 action accept set firewall name HOME_Out rule 55 description 'Разрешить установленные ответы ATT' set firewall name HOME_Out rule 55 log disable set firewall name HOME_Out rule 55 protocol all set firewall name HOME_Out rule 55 source group address-group NETv4_eth0 set firewall name HOME_Out rule 55 state established enable set firewall name HOME_Out rule 55 state related enable commit; save; exit conntrack -F Спасибо за это простое, но вместе с тем интересное возможное решение. Как видите, я был занят другими делами в жизни и только сейчас наконец возвращаюсь к сетям. Жизнь иногда вмешивается!

Читают тему (гостей: 1)