Descripción del enrutamiento del firewall OpenWRT LuCI con VPN

Navega tus respuestas
6

Todavía soy bastante nuevo en redes, y tengo algunos problemas para comprender algunos conceptos de las reglas de firewall adecuadas que necesito implementar para la configuración deseada. Estoy configurando un enrutador con OpenWRT y OpenVPN para enrutar el tráfico entrante a través de mi proveedor de VPN (proxy.sh). En gran parte tengo las configuraciones de configuración de estas dos guías:

blog.ipredator.se/howto/openwrt/configuring-openvpn-on-openwrt.html tokyobreeze.wordpress.com/2015/01/15/install-openvpn-in-a-router-with-4mb-flash/

Una cosa que tengo problemas para entender son las reglas de firewall de LuCI de OpenWRT. La idea básica es que todo el tráfico que llega desde el puerto LAN se reenvía a la interfaz VPN y los paquetes se enmascaran detrás de la interfaz VPN. Si la VPN se desconecta, el tráfico se cae y no se filtra ninguna ip. Cuando estas guías difieren en una, el puerto WAN (que se conecta a la web) se configura en su configuración normal con entrada rechazada y enmascaramiento (ver imagen abajo)

Mientrasquelaotraguía,encambio,desactivaelenmascaramientoenelpuertoWANypermitelaentrada(vealaimagendeabajo).

Ambas configuraciones funcionan para mí (y pasan todas las pruebas en ipleak.net) pero me gustaría entender mejor lo que está pasando y asegurarme de que estoy seguro. Entonces, ¿alguien puede explicarme / ayudarme a entender ...

  1. ¿Si y por qué un enfoque es mejor o más seguro que el otro?
  2. ¿Estas reglas / cómo funciona realmente el enrutamiento de paquetes? No creo que entienda muy bien lo que está pasando. Por ejemplo, no entiendo por qué si el enmascaramiento está desactivado en la interfaz WAN, se debe permitir la entrada en la interfaz WAN (verifiqué esta configuración y no funciono a menos que se permita la entrada WAN). La explicación que da el autor es demasiado breve y no tiene sentido para mí. Mi entendimiento (que probablemente sea incorrecto) de que no se permite la entrada es que la interfaz solo acepta paquetes que regresan de una solicitud saliente y no paquetes de una nueva conexión (de nuevo es nuevo para la red aquí). Entonces, si un paquete se envía a través de la interfaz VPN (con el enmascaramiento de WAN desactivado), ¿por qué su paquete de retorno es rechazado por la interfaz WAN si la entrada WAN no está permitida? ¿No sería una respuesta como cualquier otra?
pregunta JJBrown 28.03.2015 - 09:54
fuente

1 respuesta

1

Para responder a la pregunta 1, no creo que ninguna de las dos configuraciones sea tan segura como debería ser. La opción 1 deja masq activado para la WAN cuando no es necesario. La opción 2 establece una regla de aceptación predeterminada para la WAN cuando no es necesario.

Para responder a la pregunta 2 y completar los espacios en blanco de la pregunta 1: la configuración de la regla de entrada / salida en OpenWRT es el comportamiento predeterminado para el tráfico. Luego se pueden agregar reglas específicas para desviarse, por ejemplo, si configura la WAN para que ingrese el rechazo (que es el valor predeterminado), entonces debe ingresar y específicamente permitir que ocurran cosas (como enmascararse para hacer NAT, que está ahí por defecto, o una regla de aceptación para permitir SSH entrantes que no está allí por defecto y, por lo tanto, ningún SSH puede venir de la WAN al enrutador). Cuando dejó de usar Masquerade y dejó la configuración WAN en el rechazo, no había forma de que entrara algo que no encajara en una regla de permiso (incluso tráfico OpenVPN). Si luego fue a las reglas de tráfico del firewall y permitió específicamente el tráfico de OpenVPN (1194 UDP de forma predeterminada), funcionaría en modo de rechazo. Esta es una mejor opción ya que dejar la WAN en aceptar significa que cualquier servicio en su enrutador (como ssh o SMB) debe valerse por sí mismo contra el tráfico entrante (posiblemente malicioso). Es una práctica recomendada negar todo y luego meter solo lo que necesita.

    
respondido por el Jeff Meden 28.03.2015 - 18:09
fuente

Lea otras preguntas en las etiquetas

¿Por qué el uso de HTTPS es tan poco frecuente a nivel internacional (Asia)? evita el secuestro de sesiones en PHP