1
Vraag
2
Reacties
extera

Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Publiek source ip in firewall rule (IPv4 Filterregel) connectbox

Op dit moment heb ik een servertje remote bereikbaar gemaakt op poort 443 en 22 (https en ssh).

 

In de connectbox heb ik deze poorten middels twee poort forwarding regels bereikbaar gemaakt.

Vervolgens wil ik graag een source IP opgeven.

 

Ik heb geprobeerd een om een IPv4 filterregel aan te maken:

 

Protocol: TCP

Afzender IP-Adres: Enkelvoudig

IPv4 adres: Publieke IP adres (source adres)

 

Bestemmings IP-Adres: Enkelvoudig

IPv4 adres: Private LAN adres van de server (192.168.178.10)

Bronpoortreeks: Elk ( 1 - 65535)

Bestemmings poortreeks: 443 - 443

 

Hierbij krijg ik de melding: [Publiek IP] is geen geldig IP-Adres.

 

Omdat het ook mogelijk is om tijdschema's in te stellen voor IPv4 Filterregels, en omdat bij het Afzender IP-adres van te voren een private (LAN) adres wordt ingevuld door de connectbox GUI krijg ik sterk de indruk dat het alleen mogelijk is om IPv4 filterregels aan te maken voor uitgaand verkeer?

 

Klopt dit? Ik kan bijna niet geloven dat het niet mogelijk is om inkomend verkeer te filteren op een router/modem met firewall functionaliteit?

Oplossing

Geaccepteerde oplossingen
tobiastheebe

Level 20
T.E.A.M.
  • 31066Posts
  • 2180Oplossingen
  • 15502Likes

IPv4 filtering is op het SmartWifi modem inderdaad alleen voor uitgaande verbindingen, dus LAN naar WAN. Daarnaast zijn dit DROP- i.p.v. ACCEPT-regels, dus precies het tegenovergestelde van wat jij wilt bereiken (de toegang beperken tot een specifiek WAN IP-adres).

 

Ervan uitgaande dat het een Linux-server betreft, kun je iptables gebruiken:

 

  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s 192.168.178.0/24 -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s WAN_IPADDRESS -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -j DROP

Bekijk in context

4 Reacties 4
tobiastheebe

Level 20
T.E.A.M.
  • 31066Posts
  • 2180Oplossingen
  • 15502Likes

IPv4 filtering is op het SmartWifi modem inderdaad alleen voor uitgaande verbindingen, dus LAN naar WAN. Daarnaast zijn dit DROP- i.p.v. ACCEPT-regels, dus precies het tegenovergestelde van wat jij wilt bereiken (de toegang beperken tot een specifiek WAN IP-adres).

 

Ervan uitgaande dat het een Linux-server betreft, kun je iptables gebruiken:

 

  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s 192.168.178.0/24 -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -s WAN_IPADDRESS -j ACCEPT
  • iptables -A INPUT -p tcp -m multiport --dports 22,443 -j DROP
extera
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Bedankt voor je snelle reactie.

Dat de filter rules om DROP rules gaan snap ik nu wel, gezien het alleen werkt voor uitgaand verkeer...

 

Jammer dat mijn vermoeden is bevestigd. Ik vind het erg vreemd dat het niet mogelijk is om firewall rules aan te kunnen maken voor inkomend verkeer. 

 

Ik heb IPtables geconfigureerd op de server, maar zou dit liever op het device instellen wat aan de perimeter van het netwerk staat; de connectbox. 

 

Een andere optie is natuurlijk om gebruik te maken van bridge mode, of van de vrije modem keuze en de connectbox te vervangen. Het blijft jammer dat de connectbox zeer beperkt is in functionaliteit.

tobiastheebe

Level 20
T.E.A.M.
  • 31066Posts
  • 2180Oplossingen
  • 15502Likes

Ik zou het ook fijn vinden als er ook voor inkomende verbindingen regels aangemaakt konden worden. Voor IPv6 is dit overigens wel mogelijk. Er is op dit type modem alleen functionaliteit beschikbaar die voor het overgrote gedeelte van de klanten voldoet.

 

Zelf heb ik ook een thuisserver waarop ik voorheen iptables gebruikte, maar sinds eind 2019 gebruik ik een EdgeRouter (eerst een ER-POE, sinds eind juli een ER-4) en staat het modem in bridge mode, waardoor iptables op de server niet meer nodig is. De toegang tot bepaalde applicaties/services zoals SSH, is beperkt tot een address group met specifieke WAN IP-adressen.

extera
Topicstarter
Level 2
  • 3Posts
  • 0Oplossingen
  • 1Likes

Op zich prima dat je voor uitgebreide functionaliteit beter naar een ander modem/router kan kijken. Maar inkomend verkeer filteren op basis van source IP is dat in mijn ogen ook...

 

Overigens heb ik zelf een Pfsense router draaien, maar voor deze remote oplossing is een eigen router icm bridge mode overkill helaas.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic