OpenWRT Firewall Grundlagen - Warum Forwarding nach Rejected?

[Mitec]

Hallo Leute!

Ich versuche schon eine ganze Weile die Firewall zu verstehen. Dabei hatte ich gehofft, es kommt mit dem Lesen. Aber ich komme nicht dahinter.

Es geht um die Zonen, im Titel der Spalte steht: Zone => Forwardings. Das verstehe ich noch für den ersten Eintrag, lan=>wan, also die Regeln, wie Geräte aus dem lan auf des Internet zugreifen dürfen.
Aber dann direkt darunter: wan=>REJECTED ?
Was bedeutet das? Wenn wan=>REJECTED, also wenn alles aus dem wan abgewiesen wird, warum stellt man dann überhaupt noch Dinge ein wie Input, Output, Forward?

Und die zweite Frage ist dann doch wieder bezogen auf lan=>wan, also ist das Überhaupt die Regel, wie lan auf wan weitergeleitet wird? Für wen gilt dann der Input? Für wan, also wan erlaubt Input? Dann Output, für wen gilt der dann? Output ist für lan oder wan erlaubt?

Gerne auch Lesematerial verlinken oder empfehlen!, Danke

 

[Mitec]

<Youtube-Verweis moderativ entfernt>

Es wird der Wert von Forward von den "General Settings" genommen, welcher unten dann als REJECTED angezeigt wird. Ändert man es dort, so ändert sich auch der Namen unten. Also zumindest dort, wo kein Ziel Interface angegeben ist.

 

[blurrrr]

Hi,

ich hab nu nix mit OpenWRT am Hut, aber... Input/Output betrifft nur das lokale System, Forward betrifft Geräte vor/nach der Firewall.

Input z.B. Client zu Firewall
Output z.B. Firewall zu Update-Server
Forward z.B. Gerät aus Netz A zu Gerät aus Netz B

Schau Dir dazu vielleicht mal diesen Artikel an: https://wiki.ubuntuusers.de/iptables/.

Wichtig zu wissen wäre noch der Unterschied zwischen DROP und REJECT, denn beim DROP wird das Paket einfach stillschweigend verworfen, der Sender erhält diesbezüglich keinerlei Antwort (und wartet somit bis zum Timeout). Beim REJECT wird dem Sender mitgeteilt, dass das Paket verworfen wird (somit gibt es schneller eine Antwort und es wird nicht bis zum Timeout gewartet).

Die Regeln werden pro Tabelle auch von oben nach unten ausgeführt. Greift innerhalb einer Tabelle eine Regel, wird der Rest auch nicht mehr beachtet.

WAN -> REJECT ist übrigens auch nicht so dolle, ich würde da eher auf ein DROP setzen.

Was bedeutet das? Wenn wan=>REJECTED, also wenn alles aus dem wan abgewiesen wird, warum stellt man dann überhaupt noch Dinge ein wie Input, Output, Forward?

Damit Du "darüber" (immer dran denken: von oben nach unten wird abgearbeitet - was zuerst passt zählt) noch Regeln nach Lust und Laune erstellen kannst. Normalerweise besteht ein Firewall-Setup aus a) Erlaubnissen und b) einer Regel die alles andere verbietet. So könntest Du über Dein WAN->REJECT z.B. noch etwas setzen in Form von:

Quelle: Öffentliche IP A.B.C.D
Ziel: WAN-IP
Port: X
Protokoll: Y

Warum wieso weshalb hängt immer vom eigenen Anliegen kann. Kann man machen, muss man aber nicht. Das einzige was bei meiner Firewall z.B. von extern "erlaubt" ist (INPUT), ist der Zugriff auf die VPN-Dienste (IPSec + OpenVPN).

Und die zweite Frage ist dann doch wieder bezogen auf lan=>wan, also ist das Überhaupt die Regel, wie lan auf wan weitergeleitet wird?

Wenn es "zonenbezogen" ist, wird das den Traffic betreffen, welcher aus dem LAN ins Internet geht. Dort braucht es dann i.d.R. direkt 2 Dinge:

1) Firewall-Regeln (Traffic muss ja ausgehend erlaubt sein)
2) NAT-Regel (Maskierung der internen IPs durch die öffentliche WAN-IP des Routers)

Habe ein gutes Video dazu gefunden

Es wird der Wert von Forward von den "General Settings" genommen, welcher unten dann als REJECTED angezeigt wird.

Das ist bei vielen Anbietern so, ich empfehle jedoch, sowas einfach sein zu lassen und sich selbst (mit Hirn) dran zu setzen. Hast Du das Konzept erstmal "vernünftig" intus (und nicht "das System macht das ja schon für mich), kann auch nix mehr schief gehen, falls es so eine Voreinstellung mal "nicht" gibt (was auch durchaus vorkommen kann). Also kurz für Dich zusammengefasste:

1) Anti-Lockout (sieh zu, dass Du Dich nicht selbst aussperrst)
2) Gewünschte Firewall-Regeln (je nach Anliegen)
3) Cleanup (alles andere verbieten)

Wünsche vorab schon mal viel Erfolg!

 

[Mitec]

Danke, waren ein paar hilfreiche Punkte dabei. Ja, nach meiner ersten Änderung überhaupt an der Firewall habe ich mich erstmals ausgesperrt, und es ging nur noch der Rettungsmodus

 

[Confluencer]

@Mitec es ist wichtig die Zeilen immer komplett zu sehen, sonst ist es leicht aneinander vorbei zu reden:

Zone ⇒ Forwards | Input   | Output | Intra zone forward | Masquerading
lan ⇒ wan       | accept  | accept | accept             | []
wan ⇒ lan       | reject  | accept | reject             | [x]

Geräte aus der "lan"-Zone dürfen Ports am Router selbst ansprechen, ausgehende Pakete vom Router empfangen, und Richtung "wan"-Zone kommunizieren.
Geräte aus der "wan"-Zone dürfen keine Ports am Router ansprechen, aber dafür ausgehende Pakete vom Router empfangen, aber trotzdem nicht direkt zur "lan"-Zone kommunizieren. Für letzteres würde man Portforwarding einrichten.