我剛剛買了一個無所不在的 EdgeRouter ER-8,我正在配置防火牆。特別是,我對定義為 WAN 的介面的「本地」方向以及如何使用它來防止將路由器管理協定 (ssh/https) 暴露給外界感到困惑。
根據手冊規則集可以以三個方向之一應用於任何介面:
- In:到達連接埠的流量
- Out:離開連接埠的流量
- 本地:發送到路由器本身的流量
我的問題是:
除了管理 Web/ssh 介面之外,還會有任何「本地」方向的流量嗎?來自路由器本身的回應流量(如 NTP、RIP、DNS masq 等)是否會透過「本地」方向進入?
如果我應用一條規則來丟棄所有發送到 WAN_LOCAL 的資料包,是否會阻止從 WAN 向管理介面發送請求,但允許來自 LAN 的請求(因為沒有 LAN_LOCAL 規則集)?
到達 WAN_LOCAL 的流量是否先經過 WAN_IN 過濾?如果我在 WAN_IN 上有標準的狀態過濾器(例如接受 NAT 回應,放棄其他所有內容),那麼就完全不需要 WAN_LOCAL 上的規則集了?
答案1
路由器外觀不錯。
Q1 答案:否。
Q2 答案:是的。這將丟棄從 WAN 發送到路由器的所有流量。我建議建立一個名為 MgmtAccess 的規則(將其排列在丟棄規則之上),該規則允許來自外部來源的 TCP 流量,以防您需要從其他位置遠端管理它。例如,資料中心或您的家。
Q3 答案:否。
我喜歡帶著偏執來接近防火牆。我首先為每個介面(輸入、輸出、本機)建立三個規則集,輸入和本機的預設操作為「drop」。出來可以接受。然後我會添加規則(遵守順序),以允許我從那裡出發時的流量。給他們起好名字。如果 eth0 連接到 WAN,則將這些規則集稱為 WAN_IN、WAN_LOCAL、WAN_OUT。如果 eth7 進入儲存網絡,請將其稱為 STORAGE_IN... 你明白了。也為規則提供描述性名稱,以使管理更容易。
預設帳戶銷毀:建立新使用者並刪除原來的使用者。這將防止針對預設帳戶的暴力攻擊。像對待密碼一樣對待您的使用者名稱。讓他們保密。確保他們的安全。
答案2
- 有潛力。例如,如果您使用小型網路上的路由器來快取 DNS 請求,則 DNS 流量將到達 LOCAL 介面。如果您將其用於 DHCP 和任何其他網路服務,也會發生相同的情況。
- 往上看。如果您想使用路由器快取 DNS 請求,那麼您必須允許其本地與 WAN 通信,就像 LAN 一樣。
- 規則集是獨立的,並且明確說明被阻止的內容對於配置的清晰度可能很有用。所以我更希望所有的規則都能說明意圖。考慮到這一點,我將擁有 WAN_LOCAL。
前段時間,我想像了路由器內部沒有需要 ER POE8 WAN 存取的服務的情況的思考過程。
答案3
若要防止從 WAN 介面未經授權存取路由器服務,只需更改管理員帳戶 (ubnt) 的預設密碼即可。
看文章密碼恢復速度。它透過密碼長度和使用的字元描述隨機密碼的最大破解時間。
例如,破解B33r&Mug超級電腦分散式網路(NSA)所需的時間估計為 83 天,而高階工作站則需要 2 年以上。這是因為該密碼使用大小寫、數字和特殊字符,但仍然相當短(8 個字符)。