Vyatta ファイアウォールの構造とインターフェースの方向

見た目が素敵なルーターです。

Q1 回答: いいえ。ローカルと見なされるトラフィックは、おっしゃるとおり、ssh および webui トラフィックと、ルーターの DHCP サーバー機能を使用している場合は DHCP サーバー トラフィックのみです。

Q2 回答: はい。これにより、WAN からルーター宛てのすべてのトラフィックがドロップされます。別の場所 (データセンターや自宅など) からリモート管理する必要がある場合に備えて、外部ソースからの TCP トラフィックを許可する MgmtAccess というルール (ドロップ ルールより上位に配置) を作成することをお勧めします。

Q3 回答: いいえ。ルールセットはルールを互いに個別に処理します。

私は、ファイアウォールにパラノイア的にアプローチするのが好きです。まず、各インターフェース (in、out、local) に 3 つのルールセットを作成します。in と local のデフォルトのアクションは「ドロップ」です。out は受け入れることができます。次に、そこから進むにつれてトラフィックを許可するルール (順序を順守) を追加します。ルールに適切な名前を付けます。eth0 が WAN に接続する場合は、これらのルールセットを WAN_IN、WAN_LOCAL、WAN_OUT と呼びます。eth7 がストレージ ネットワークに接続する場合は、STORAGE_IN... と呼びます。ルールにはわかりやすい名前を付けて、後で管理しやすくします。

デフォルト アカウントの破棄: 新しいユーザーを作成し、元のユーザーを削除します。これにより、デフォルト アカウントに対するブルート フォース攻撃を防止できます。ユーザー名をパスワードのように扱います。秘密にし、安全に保管します。

1. 可能性はあります。たとえば、小規模ネットワークでルーターを使用して DNS 要求をキャッシュする場合、DNS トラフィックは LOCAL インターフェイスに到達します。DHCP やその他のネットワーク サービスに使用する場合も同様です。
2. 上記を参照してください。ルーターを使用して DNS 要求をキャッシュする場合は、LAN と同様に、ルーターの LOCAL が WAN と通信できるように許可する必要があります。
3. ルールセットは独立しており、ブロックされるものを明示的に指定すると、構成が明確になる場合があります。したがって、すべてのルールに意図を明記することをお勧めします。その点を念頭に置いて、WAN_LOCAL を使用します。

以前、ER POE8 の WAN アクセスを必要とするサービスがルータ内に存在しない場合の思考プロセスを視覚化しました。

まだ GitHub 上に残っているので、役立つかどうか確認できます。

WAN インターフェイスからルーターのサービスへの不正アクセスを防ぐには、管理者アカウント (ubnt) のデフォルトのパスワードを変更するだけです。

記事を見るパスワード回復速度パスワードの長さと使用される文字ごとに、ランダム パスワードの最大解読時間を説明します。

たとえば、B33r&Mug分散型スーパーコンピュータ ネットワーク (NSA) による解読に必要な時間は 83 日と推定されていますが、ハイエンド ワークステーションでは 2 年以上かかります。これは、パスワードが大文字と小文字、数字、特殊文字を使用しているにもかかわらず、かなり短い (8 文字) ためです。