我刚刚买了一个Ubiquity EdgeRouter ER-8,我正在配置防火墙。特别是,我对我定义为 WAN 的接口的“本地”方向感到困惑,以及如何使用它来防止将路由器管理协议 (ssh/https) 暴露给外界。
根据手册规则集可以在任何接口上应用,有三个方向:
- 输入:到达端口的流量
- 出站:离开端口的流量
- 本地:发往路由器本身的流量
我的问题是:
除了管理 web/ssh 接口之外,是否还会有其他“本地”方向的流量?来自路由器本身的响应流量(如 NTP、RIP、DNS masq 等)是否会通过“本地”方向进入?
如果我应用一条规则将所有发往 WAN_LOCAL 的数据包丢弃,这是否会阻止来自 WAN 的管理接口请求,但允许来自 LAN 的请求(因为没有 LAN_LOCAL 规则集)?
到达 WAN_LOCAL 的流量是否会先由 WAN_IN 过滤?如果我在 WAN_IN 上有一个标准的状态过滤器(例如,接受 NAT 后的响应,丢弃其他所有内容),是否完全不需要在 WAN_LOCAL 上设置规则集?
答案1
看上去很漂亮的路由器。
Q1 回答:不。正如您所提到的,唯一被视为本地的流量是 ssh 和 webui 流量,以及 DHCP 服务器流量(如果您使用路由器的 DHCP 服务器功能)。
Q2 回答:是的。这样会丢弃所有从 WAN 发往路由器的流量。我建议创建一个名为 MgmtAccess 的规则(将其置于丢弃规则之上),以允许来自外部源的 TCP 流量,以防您需要从其他位置对其进行远程管理。例如数据中心或您的家。
Q3 回答:不可以。规则集彼此独立地处理其规则。
我喜欢谨慎地对待防火墙。我首先为每个接口(输入、输出、本地)创建三个规则集,输入和本地的默认操作为“丢弃”。输出可以是接受。然后,我将添加规则(遵守顺序),以允许从那里发出的流量。给它们起好名字。如果 eth0 进入 WAN,则将这些规则集称为 WAN_IN、WAN_LOCAL、WAN_OUT。如果 eth7 进入存储网络,则将其称为 STORAGE_IN... 你明白了。给规则起描述性的名称,以便以后更容易管理。
默认帐户销毁:创建新用户并删除原始用户。这将防止对默认帐户的暴力攻击。将用户名视为密码。保密。确保其安全。
答案2
- 有可能。例如,如果您在小型网络上使用路由器来缓存 DNS 请求,则 DNS 流量将到达本地接口。如果您将其用于 DHCP 和任何其他网络服务,情况也是如此。
- 参见上文。如果您想使用路由器缓存 DNS 请求,则必须允许其 LOCAL 与 WAN 通信,就像 LAN 一样。
- 规则集是独立的,明确说明被阻止的内容可能有助于清晰配置。因此,我更希望所有规则都说明意图。考虑到这一点,我会选择 WAN_LOCAL。
前段时间,我设想了一下思考过程,即路由器内部没有需要 ER POE8 的 WAN 访问的服务的情况。
答案3
为了防止从 WAN 接口未经授权访问路由器服务,只需更改管理员帐户 (ubnt) 上的默认密码。
查看文章密码恢复速度. 它描述了破解随机密码的最大时间,包括密码长度和使用的字符。
例如,B33r&Mug分布式超级计算机网络 (NSA) 破解所需的时间估计为 83 天,而高端工作站则需要 2 年以上。这是因为该密码使用大小写、数字和特殊字符,但仍然很短(8 个字符)。