Ziggo.nl
Zoeken
Uitleg
1
Vraag
2
Reacties
3
Oplossing
extera

Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Publiek source ip in firewall rule (IPv4 Filterregel) connectbox

Een reactie in dit topic is gekozen als oplossing: Bekijk oplossing

Op dit moment heb ik een servertje remote bereikbaar gemaakt op poort 443 en 22 (https en ssh).

 

In de connectbox heb ik deze poorten middels twee poort forwarding regels bereikbaar gemaakt.

Vervolgens wil ik graag een source IP opgeven.

 

Ik heb geprobeerd een om een IPv4 filterregel aan te maken:

 

Protocol: TCP

Afzender IP-Adres: Enkelvoudig

IPv4 adres: Publieke IP adres (source adres)

 

Bestemmings IP-Adres: Enkelvoudig

IPv4 adres: Private LAN adres van de server (192.168.178.10)

Bronpoortreeks: Elk ( 1 - 65535)

Bestemmings poortreeks: 443 - 443

 

Hierbij krijg ik de melding: [Publiek IP] is geen geldig IP-Adres.

 

Omdat het ook mogelijk is om tijdschema's in te stellen voor IPv4 Filterregels, en omdat bij het Afzender IP-adres van te voren een private (LAN) adres wordt ingevuld door de connectbox GUI krijg ik sterk de indruk dat het alleen mogelijk is om IPv4 filterregels aan te maken voor uitgaand verkeer?

 

Klopt dit? Ik kan bijna niet geloven dat het niet mogelijk is om inkomend verkeer te filteren op een router/modem met firewall functionaliteit?

Topic label
september 2022
0 Kudos
Oplossing

Geaccepteerde oplossingen
tobiastheebe

Level 20
T.E.A.M.
  • 24240Posts
  • 1659Oplossingen
  • 11881Likes

Bekijk oplossing

IPv4 filtering is op het SmartWifi modem inderdaad alleen voor uitgaande verbindingen, dus LAN naar WAN. Daarnaast zijn dit DROP- i.p.v. ACCEPT-regels, dus precies het tegenovergestelde van wat jij wilt bereiken (de toegang beperken tot een specifiek WAN IP-adres).

 

Ervan uitgaande dat het een Linux-server betreft, kun je iptables gebruiken:

 

  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s 192.168.178.0/24 -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s WAN_IPADDRESS -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -j DROP

Bekijk in context

september 2022
0 Kudos
4 Reacties 4
tobiastheebe

Level 20
T.E.A.M.
  • 24240Posts
  • 1659Oplossingen
  • 11881Likes

Bekijk oplossing

IPv4 filtering is op het SmartWifi modem inderdaad alleen voor uitgaande verbindingen, dus LAN naar WAN. Daarnaast zijn dit DROP- i.p.v. ACCEPT-regels, dus precies het tegenovergestelde van wat jij wilt bereiken (de toegang beperken tot een specifiek WAN IP-adres).

 

Ervan uitgaande dat het een Linux-server betreft, kun je iptables gebruiken:

 

  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s 192.168.178.0/24 -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s WAN_IPADDRESS -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -j DROP
september 2022
0 Kudos
extera
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Bekijk oplossing

Bedankt voor je snelle reactie.

Dat de filter rules om DROP rules gaan snap ik nu wel, gezien het alleen werkt voor uitgaand verkeer...

 

Jammer dat mijn vermoeden is bevestigd. Ik vind het erg vreemd dat het niet mogelijk is om firewall rules aan te kunnen maken voor inkomend verkeer. 

 

Ik heb IPtables geconfigureerd op de server, maar zou dit liever op het device instellen wat aan de perimeter van het netwerk staat; de connectbox. 

 

Een andere optie is natuurlijk om gebruik te maken van bridge mode, of van de vrije modem keuze en de connectbox te vervangen. Het blijft jammer dat de connectbox zeer beperkt is in functionaliteit.

september 2022
0 Kudos
tobiastheebe

Level 20
T.E.A.M.
  • 24240Posts
  • 1659Oplossingen
  • 11881Likes

Bekijk oplossing

Ik zou het ook fijn vinden als er ook voor inkomende verbindingen regels aangemaakt konden worden. Voor IPv6 is dit overigens wel mogelijk. Er is op dit type modem alleen functionaliteit beschikbaar die voor het overgrote gedeelte van de klanten voldoet.

 

Zelf heb ik ook een thuisserver waarop ik voorheen iptables gebruikte, maar sinds eind 2019 gebruik ik een EdgeRouter (eerst een ER-POE, sinds eind juli een ER-4) en staat het modem in bridge mode, waardoor iptables op de server niet meer nodig is. De toegang tot bepaalde applicaties/services zoals SSH, is beperkt tot een address group met specifieke WAN IP-adressen.

september 2022
extera
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Bekijk oplossing

Op zich prima dat je voor uitgebreide functionaliteit beter naar een ander modem/router kan kijken. Maar inkomend verkeer filteren op basis van source IP is dat in mijn ogen ook...

 

Overigens heb ik zelf een Pfsense router draaien, maar voor deze remote oplossing is een eigen router icm bridge mode overkill helaas.

september 2022
E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic

Zoek verder op de Community

annuleren
Suggesties inschakelen
Met de functie voor automatische suggesties kun je je zoekresultaten snel verfijnen doordat mogelijke overeenkomsten wordt voorgesteld terwijl je typt.
Resultaten voor 
Weergeven  enkel  | Zoek in plaats daarvan naar 
Bedoelde u: 
Stel je vraag
of
Terug