Tengo un TP-Link ER605 conectado a mi enrutador Comcast Business. El firewall del enrutador de Comcast está configurado y funciona bien. Desafortunadamente, a la ACL de TP-Link le falta algo o está configurada incorrectamente. He estado trabajando con firewalls y ACL para mis servidores en línea con AWS, Linux y Windows. Todavía estoy aprendiendo, pero este me tiene estancado.
El objetivo de este firewall es bloquear todo excepto HTTP, HTTPS y UDP DNS, tanto de entrada como de salida.
EL PROBLEMA
Si elimino BLOCK_REMAINING, puedo conectarme a Internet. No quiero borrar eso, por supuesto. Este método me ha funcionado (bloqueando tanto la entrada como la salida, solo con los puertos 1024-65535 y los protocolos http) en otros sistemas operativos y en AWS.
EXPLICACIÓN
ESTE_ROUTER = el enrutador TP-Link (192.168.0.1). LAS ESTACIONES DE TRABAJO son las IP individuales de las computadoras permitidas en la red. ALL_SUBNETS son 192.168.0.0/24 y 10.1.10.0/24. Los dos primeros son para la interfaz WAN para que pueda comunicarse con el enrutador Comcast (10.1.10.1). Los dos siguientes son para que el router TP-Link se comunique con las Estaciones de Trabajo. El objetivo de LOCAL_BLOCK_IN/OUT es evitar que otras computadoras en la red local se comuniquen entre sí. Luego están los bloques de permisos HTTP, HTTPS y DNS. Los tipos de servicio permiten los puertos 1024-65535 en el lado opuesto y 80,443 y UDP 53. BLOCK_REMAINING_IN/OUT hace precisamente eso, bloquea los protocolos, direcciones y puertos restantes.