Ich habe einen TP-Link ER605 an meinen Comcast Business-Router angeschlossen. Die Firewall auf dem Comcast-Router ist eingerichtet und funktioniert einwandfrei. Leider fehlt in der ACL des TP-Links etwas oder sie ist falsch konfiguriert. Ich habe mit Firewalls und ACLs für meine Online-Server mit AWS, Linux und Windows gearbeitet. Ich lerne immer noch, aber bei dieser hier stecke ich fest.
Das Ziel dieser Firewall besteht darin, alles außer HTTP, HTTPS und UDP DNS zu blockieren – sowohl Eingabe als auch Ausgabe.
DAS PROBLEM
Wenn ich BLOCK_REMAINING lösche, kann ich eine Verbindung zum Internet herstellen. Das möchte ich natürlich nicht löschen. Diese Methode hat bei mir auf anderen Betriebssystemen und in AWS funktioniert (Blockierung von Eingabe und Ausgabe, nur mit den Ports 1024-65535 und HTTP-Protokollen).
ERLÄUTERUNG
THIS_ROUTER = der TP-Link-Router (192.168.0.1). WORKSTATIONS sind die einzelnen IPs der im Netzwerk zugelassenen Computer. ALL_SUBNETS sind sowohl 192.168.0.0/24 als auch 10.1.10.0/24. Die ersten beiden sind für die WAN-Schnittstelle, damit sie mit dem Comcast-Router (10.1.10.1) kommunizieren kann. Die nächsten beiden sind für den TP-Link-Router, damit er mit den Workstations kommunizieren kann. Das Ziel von LOCAL_BLOCK_IN/OUT ist es, zu verhindern, dass andere Computer im lokalen Netzwerk miteinander kommunizieren. Dann gibt es die HTTP-, HTTPS- und DNS-Zulassungsblöcke. Die Diensttypen erlauben die Ports 1024-65535 auf der gegenüberliegenden Seite und 80,443 und UDP 53. BLOCK_REMAINING_IN/OUT tut genau das und blockiert die verbleibenden Protokolle, Adressen und Ports.