Vyatta 방화벽 구조 및 인터페이스 방향

보기 좋은 라우터입니다.

Q1 답변: 아니요. 로컬로 간주되는 유일한 트래픽은 언급한 대로 ssh 및 webui 트래픽뿐 아니라 라우터의 DHCP 서버 기능을 활용하는 경우 DHCP 서버 트래픽입니다.

Q2 답변: 그렇습니다. 그러면 WAN에서 라우터로 향하는 모든 트래픽이 삭제됩니다. 다른 위치에서 원격으로 관리해야 하는 경우를 대비해 외부 소스로부터의 TCP 트래픽을 허용하는 MgmtAccess라는 규칙을 생성하는 것이 좋습니다(삭제 규칙보다 높은 순서로 지정). 예를 들어 데이터 센터 또는 집.

Q3 답변: 아니요. 규칙 세트는 규칙을 서로 별도로 처리합니다.

나는 편집증을 가지고 방화벽에 접근하는 것을 좋아합니다. 각 인터페이스(in, out, local)에 대해 세 가지 규칙 세트를 만드는 것부터 시작하겠습니다. in과 local의 기본 동작은 'drop'입니다. 밖으로 받아들일 수 있습니다. 그런 다음 거기에서 이동할 때 트래픽을 허용하도록 규칙(순서 준수)을 추가합니다. 좋은 이름을 지어주세요. eth0이 WAN으로 이동하는 경우 해당 규칙 세트를 WAN_IN, WAN_LOCAL, WAN_OUT으로 호출합니다. eth7이 스토리지 네트워크로 이동하면 STORAGE_IN이라고 부르세요. 알겠죠. 규칙을 설명하는 이름도 지정하여 관리를 더 쉽게 만듭니다.

기본 계정 파기: 새 사용자를 생성하고 원본을 삭제합니다. 이렇게 하면 기본 계정에 대한 무차별 대입 공격을 방지할 수 있습니다. 사용자 이름을 비밀번호처럼 취급하십시오. 비밀로 유지하세요. 안전하게 보관하세요.

1. 잠재적으로. 예를 들어 소규모 네트워크의 라우터를 사용하여 DNS 요청을 캐시하는 경우 DNS 트래픽이 LOCAL 인터페이스에 도달합니다. DHCP 및 기타 네트워크 서비스에 사용하는 경우에도 마찬가지입니다.
2. 위 참조. 라우터를 사용하여 DNS 요청을 캐시하려면 LAN처럼 LOCAL이 WAN과 통신하도록 허용해야 합니다.
3. 규칙 세트는 독립적이며 차단된 항목을 명시적으로 명시하는 것이 구성을 명확하게 하는 데 유용할 수 있습니다. 그래서 나는 의도를 명시하는 모든 규칙을 갖는 것을 선호합니다. 이를 염두에 두고 WAN_LOCAL을 갖게 됩니다.

얼마 전 나는 ER POE8에 대한 WAN 액세스가 필요한 라우터 내부에 서비스가 없는 경우에 대한 사고 과정을 시각화했습니다.

아직 GitHub에 있으므로 도움이 되는지 확인할 수 있습니다.

WAN 인터페이스에서 라우터 서비스에 대한 무단 액세스를 방지하려면 관리자 계정(ubnt)의 기본 비밀번호를 변경하면 됩니다.

기사 보기비밀번호 복구 속도. 비밀번호 길이와 사용된 문자를 기준으로 임의 비밀번호의 최대 크랙 시간을 설명합니다.

예를 들어, 슈퍼 컴퓨터(NSA)의 분산 네트워크를 크랙하는 데 필요한 시간은 B33r&Mug83일로 추산되는 반면, 고급 워크스테이션의 경우 2년 이상이 필요합니다. 이는 비밀번호가 대문자와 소문자, 숫자, 특수 문자를 사용하면서도 다소 짧기 때문입니다(8자).