Polska grupa vYos


#1

Witam jeżeli ktoś z Polskich użytkowników przegląda forum niech się odezwie.
Pozdrawiam.


#2

Cześć !


#3

O jak miło nie jestem sam :slight_smile: Powiedz mi w jakim stopniu znasz vyos ? Poszukuje pomocy z konfiguracja firewalla na bazie stref tzw. zone-based.

Pozdrawiam


#4

Poziom zaawansowany , tak bym to ujął :wink:


#5

Potrzebuje problem z rulkami i konfiguracją vyosa.

Mam takie strefy:
WAN - DHCP UPC Internet
LOCAL - lokalna strefa
LAN - komputer pc, laptop, konsola, tv, wifi ap 172.16.1.254/24
DMZ - serwer ESXI i wirtualne maszyny 10.10.1.254/24
VPN - tunele vti oraz polaczenie OpenVPN

Zalozenie jest takie aby strefa LOCAL i DMZ miala dostep do pozostalych stref. W rulkach firewalowych zrobilem wspolna rulke LOCAL_ALL (accept all dla kierunków LOCAL->WAN, LOCAL->LAN,LOCAL->DMZ,LOCAL->VPN podobnie dla DMZ. Reszta ruchu ma byc filttrowana rulkami. Dla rulek WAN_LOCAL i WAN_DMZ (rulki sostepu do uslug z zewnatrz). Przy rulkach np VPN_LAN, LAN_DMZ, VPN_LOCAL, LAN_LOCAL mam problem bo rulki nie dzialaja nie moge znalezc dobrego rozwiazania co jak powinienem blokowac/zezwalać.

Jakieś przykłady mile widziane :]


#6

Nie licz na gotowy konfig i przykłady (to nie miejsce na to) - ale podpowiem

  • użyj global state-policy
  • zone local bez polityki, wtedy ruch wyjsciowy jest zezwolony “by default” (ruch do local dropowany by default")
  • cala reszta , firewall z kazdej zony do innej
  • w każdym firewallu zawsze default-drop
  • używaj address group dla przejrzystości konfiguracji

Masz b. prostą topologię :wink:


#7

Mała różnica to taka że ja mam Ubiquity wiec tam nie mam global state policy ;/ Czyli wszedzie musze dodac rulki Allow Established/Related, Drop Invalid, tylko czy dac je jako rulki 1 i 2 czy np. jako ostatnie w kazdej zonie czy w konkretnych ?

Zona LOCAL bez polityki czyli tylko dać w takiej formie:

zone-policy zone LOCAL { default-action accept description "ZONE:LOCAL" local-zone }


#8

Chodziło o to - ze na wyjście z zony local jest by defaut zezwolone
A ruch do Local filtrujesz oczywiście …

a default-action drop w każdej zonie powinno się znaleźć …


#9

Ok rulki z wan-local wan-lan ogarnalem i mam dostep do servisow/uslug z internetu a jak mam openvpn site2site w zonie vpn i rulki robie na tej samej zasadzie jak z wan do lan czy local to rulki nie dokonca dzialaja raz zbieraja pakiety raz nie i w logacham jeden kierunek pakietow jak dam rulke na to zgodna z kierunkiem pakietow nagle pakiety w druga strone lataja na konkretny port i juz nie dziala. A danie dwuch rulek jedna w jednym druga w drugim kierunku nic nie daje.


#10

A co mi tam, też się przywitam.

W firewallu niestety nie pomogę, bo to jeden z elementów, którego szczerze nie lubię w tym systemie :).

Pozdrawiam,


#11

No to i ja się przywitam. Ja się chwilowo pożegnałem z VyOSem ponieważ nie jestem w stanie uruchomić modemu na mini-PCIe. Może coś się zmieni w przyszłości, ale póki co będzie Endian.


#12

To poco Ci taki soft skoro Firewalla nie lubisz ?