Toon posts:

Beveiliging vyos router

Pagina: 1
Acties:

Onderwerpen

Netwerk

Vraag

dinsdag 21 juli 2020 19:41

Acties:
  • 0 Henk 'm!
  • sjermanie
  • Registratie: Juli 2020
  • Laatst online: 07-07-2022

sjermanie

Topicstarter
Mijn vraag
Ik wil graag dat 1 vyos router een andere router alleen kan bereiken met DNS en printdiensten. Dus een firewall/ACL zetten op 1 router, die ervoor zorgt dat een andere router alleen die router kan bereiken d.m.v. DNS en printdiensten. Ik heb zelf al het één en ander geprobeert maar helaas zonder enig succes.

Relevante software en hardware die ik gebruik
...

Wat ik al gevonden of geprobeerd heb
...

Beste antwoord (via sjermanie op 22-07-2020 16:13)

dinsdag 21 juli 2020 22:31

  • kosz
  • Registratie: Juni 2001
  • Laatst online: 14-09 15:48

kosz

Ik mis nog wat context, maar meestal maak je een ruleset met voorwaarden die mogen dus dan zou ik denken aan destination gezien vanuit ROTR.
Ik zie alleen nergens op welke interface je de ruleset aan koppeld, en of dit in or out bound moet zijn.
Als ik naar je screenshot kijk is Eth4 OUTBOUND dus dan denk ik aan het volgende :
set firewall name ROTR-TO-UTR rule 10 action 'accept'
set firewall name ROTR-TO-UTR rule 10 destination address 'x.x.x.x/y subnet utrecht'
set firewall name ROTR-TO-UTR rule 10 destination port '53'
set firewall name ROTR-TO-UTR rule 10 protocol 'tcp'
set firewall name ROTR-TO-UTR rule 10 state new 'enable'
set firewall name ROTR-TO-UTR rule 20 action 'accept'
set firewall name ROTR-TO-UTR rule 20 destination address 'x.x.x.x/y subnet utrecht'
set firewall name ROTR-TO-UTR rule 20 destination port 'printserverport'
set firewall name ROTR-TO-UTR rule 20 protocol 'tcp'
set firewall name ROTR-TO-UTR rule 20 state new 'enable'

set interfaces ethernet eth4 traffic-policy out 'ROTR-TO-UTR'

Alle reacties

dinsdag 21 juli 2020 19:53

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

Hoe zit je ACL eruit? Post de config eens. Dan kunnen wij kijken wat niet correct is. Misschien is policy based routing ook een optie. Dan kan op basis van verkeer UDP poort 53 naar andere router sturen.

dinsdag 21 juli 2020 20:08

Acties:
  • 0 Henk 'm!
  • sjermanie
  • Registratie: Juli 2020
  • Laatst online: 07-07-2022

sjermanie

Topicstarter
Ik heb een uurtje geleden een snapshot teruggezet, aangezien mijn omgeving niet meer goed kon communiceren, dus ik heb nu helaas geen output/voorbeeld van mijn ACL. Ik denk dat het belangrijkste voor mij is om de stappen te weten om ervoor te zorgen dat alleen dns en printdiensten worden toegelaten (en pingen aangezien ik nog alles wil kunnen bereiken).

dinsdag 21 juli 2020 20:17

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

sjermanie schreef op dinsdag 21 juli 2020 @ 20:08:
Ik heb een uurtje geleden een snapshot teruggezet, aangezien mijn omgeving niet meer goed kon communiceren, dus ik heb nu helaas geen output/voorbeeld van mijn ACL. Ik denk dat het belangrijkste voor mij is om de stappen te weten om ervoor te zorgen dat alleen dns en printdiensten worden toegelaten (en pingen aangezien ik nog alles wil kunnen bereiken).
Ik heb volgende vragen:
- Hoe programmeer je die Vyos router? Via CLI of GUI?
- Heb je eens schets van netwerk?
- Heb je links van website waar je firewall rule hebt gebaseerd?

dinsdag 21 juli 2020 20:21

Acties:
  • 0 Henk 'm!
  • sjermanie
  • Registratie: Juli 2020
  • Laatst online: 07-07-2022

sjermanie

Topicstarter
Vyos router configureer ik via CLI en ik gebruik https://docs.vyos.io/en/latest/firewall.html als mijn hulpmiddel om firewall te configureren. Afbeeldingslocatie: https://tweakers.net/i/j_tIa_GfIcDgXmBpTD5udQVyo1Q=/800x/filters:strip_exif()/f/image/N8Vz24qV4fYmFvPhDhT06RZP.png?f=fotoalbum_large

Dit is de netwerktekening. Het gaat hierbij om de ISPR1 en ROTR1. Ze zitten op hetzelfde netwerk met 10.59.3.1/24 voor de ROTR1 router en 10.59.3.2/24 voor de ISPR1 router. Dus de bedoeling is dat de ROTR1 router alleen gebruik kan maken van dns en printdiensten richting de ISPR1 router.

dinsdag 21 juli 2020 20:38

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

Je kunt kijken naar PBR (https://docs.vyos.io/en/latest/routing/pbr.html) Daar kan je filter welke verkeer welke next-hop gaat. Maar is ROTR1 ook de gateway van het netwerk Rotterdam of is er een andere gateway (Internet)?

Ik weet niet of VyOS ook een rollback commando heeft in config mode. Bij Juniper SRX firewall heb je het namelijk wel. Dan hoef je geen snapshot terug te zetten en via rollback commando de configuratie terugdraaien.

dinsdag 21 juli 2020 20:45

Acties:
  • 0 Henk 'm!
  • sjermanie
  • Registratie: Juli 2020
  • Laatst online: 07-07-2022

sjermanie

Topicstarter
Afbeeldingslocatie: https://tweakers.net/i/O8VolRjFG_LOKs8AL-f2c5jB2JI=/800x/filters:strip_exif()/f/image/2pIgFc6Bzd7Zp0dJAPoXe199.png?f=fotoalbum_large

Dit zijn mijn interfaces van de router in Rotterdam. eth4 is mijn bridged netwerk adapter, voor de rest heb ik aan eth6 een aantal vlans toegevoegd maar that's it.
Om voor mijn probleem een oplossing te vinden zat ik te denken aan iets als dit:
set firewall name <name> description <description>
set firewall name <name> rule <rulenumber> action <drop/accept>
set firewall name <name> rule <rulenumber> source address 10.59.3.1/24
set firewall name <name> rule <rulenumber> source port '22'.

Als ik dan bijvoorbeeld voor action drop zou kiezen, dat die rule er dan voor zorgt dat al het verkeer dat vanaf 10.59.3.1/24 komt en over poort 22 gaat niet wordt toegelaten. Ik krijg alleen een foutmelding bij de laatste zin dat de waarde niet klopt (22 in dit geval).

[ Voor 7% gewijzigd door sjermanie op 21-07-2020 20:46 ]

dinsdag 21 juli 2020 21:20

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

Ik denk niet dat firewall rule gaat werken. (Disclaim: Ik heb geen ervaring met VyOS)
Meestal geeft je aan in een firewall welke source subnet met welke service(s) naar welke destination mag bij Cisco asa, Fortigate, Sophos XG, etc.

Deze firewall rule mag subnet 10.58.10.0/24 met SSH (TCP/22) naar subnet 10.58.50.0/24.
set firewall name <name> description <description>
set firewall name <name> rule <rulenumber> action <accept>
set firewall name <name> rule <rulenumber> source address 10.58.10.0/24
set firewall name <name> rule <rulenumber> destination port '22'.
set firewall name <name> rule <rulenumber> destination address 10.58.50.0/24

dinsdag 21 juli 2020 22:31

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 14-09 15:48

kosz

Ik mis nog wat context, maar meestal maak je een ruleset met voorwaarden die mogen dus dan zou ik denken aan destination gezien vanuit ROTR.
Ik zie alleen nergens op welke interface je de ruleset aan koppeld, en of dit in or out bound moet zijn.
Als ik naar je screenshot kijk is Eth4 OUTBOUND dus dan denk ik aan het volgende :
set firewall name ROTR-TO-UTR rule 10 action 'accept'
set firewall name ROTR-TO-UTR rule 10 destination address 'x.x.x.x/y subnet utrecht'
set firewall name ROTR-TO-UTR rule 10 destination port '53'
set firewall name ROTR-TO-UTR rule 10 protocol 'tcp'
set firewall name ROTR-TO-UTR rule 10 state new 'enable'
set firewall name ROTR-TO-UTR rule 20 action 'accept'
set firewall name ROTR-TO-UTR rule 20 destination address 'x.x.x.x/y subnet utrecht'
set firewall name ROTR-TO-UTR rule 20 destination port 'printserverport'
set firewall name ROTR-TO-UTR rule 20 protocol 'tcp'
set firewall name ROTR-TO-UTR rule 20 state new 'enable'

set interfaces ethernet eth4 traffic-policy out 'ROTR-TO-UTR'

woensdag 22 juli 2020 14:59

Acties:
  • 0 Henk 'm!
  • sjermanie
  • Registratie: Juli 2020
  • Laatst online: 07-07-2022

sjermanie

Topicstarter
Bedankt voor het voorbeeld. Kan ik nu ook een firewall rule aanmaken die de rest als default action dropped, oftewel dat alleen deze rules doorgelaten worden en alle andere services niet? Zo, ja hoe dan? Kan ik dan een rule aanmaken die als action drop heeft en dan als destination address ook het subnet utrecht heeft?

woensdag 22 juli 2020 22:06

Acties:
  • 0 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 14-09 15:48

kosz

sjermanie schreef op woensdag 22 juli 2020 @ 14:59:
Bedankt voor het voorbeeld. Kan ik nu ook een firewall rule aanmaken die de rest als default action dropped, oftewel dat alleen deze rules doorgelaten worden en alle andere services niet? Zo, ja hoe dan? Kan ik dan een rule aanmaken die als action drop heeft en dan als destination address ook het subnet utrecht heeft?
Ik ben zeker geen expert op vyos, ik heb wel eens met Ubiquiti gespeeld wat is gebaseerd op vyatta en het lijkt allemaal op elkaar. Als je nu een werkende policy hebt, neem ik aan dat het werkt zoals een ACL zoals iedere andere vendor dat afhandeld, dus altijd met standaard een implicit deny als laatste rule.
Dit kan je testen door iets in utrecht te pingen, als dat niet werkt dan is dat goed en werkt het op vyos dus als een ACL met een implicit deny onderaan elke Rule-set/ACL. Immers je laat alleen DNS en printerverkeer en dat werkt wel zoals gewenst.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq