Reglas firewall con zerotier en enigma2

Pulsar para soporte en grupo telegram
Pulsar para soporte en grupo telegram

Antes de comenzar dar las gracias a @DiegolmVK por la introduccion en las reglas firewall en zerotier.

Zerotier es una aplicacion de codigo abierto la cual usa los ultimos desarrollos SDN que nos permite crear redes seguras y tratar nuestro receptor enigma2 asi como todos los dispositivos conectados a nuestra red zerotier como si estuvieran en la misma red fisica.

Es una tecnología cifrada punto a punto, lo que significa que, a diferencia de las soluciones VPN tradicionales, las comunicaciones no necesitan pasar a través de un servidor central o enrutador; los mensajes se envían directamente de un host a otro. Como resultado, es muy eficiente y garantiza una latencia mínima. Otros beneficios incluyen el sencillo proceso de implementación y configuración de ZeroTier, el mantenimiento directo y que permite el registro centralizado y la gestión de nodos autorizados a través de la consola web.

Para realizar red zerotier en nuestro receptores enigma2 podemos seguir este articulo de nuestra web

Streaming enigma2 zerotier

Reglas firewall Zerotier

Cuando realizamos la conexion zerotier entre nuestros dispositivos un problema que nos podemos encontrar es que como hemos comentado al realizar dicha conexion todos los dispositivos es como si estuvieran en la misma red fisica lo que provoca que todos los dispositivos tienen acceso a todos los puertos de los diferentes dispositivos que se encuentra en ella. Al igual que ocurre si en vez de zerotier usaramos una conexion openvpn el usuario que se conectara a nuestro receptor a traves de openvpn tendria acceso a todos los puertos del mismo que implicaria que en este caso con openvpn una opcion seria usar iptables.

Una ventaja en el caso de zerotier es que lleva integrado un firewall que mediante reglas al igual que con iptables podemos filtrar el trafico de red entre dispositivos, en este caso vamos a ver un ejemplo simple, no vamos a entrar en profundidad, podeis seguir el manual completo de zerotier para entender las reglas del firewall:

https://www.zerotier.com/manual/

Para el ejemplo que vamos a realizar simplemente vamos a tener en cuenta:

accept = aceptar paquetes

drop = descartar paquetes

ztsrc = origen

ztdest = destino

dport = rango puertos

Adress = identificador de nuestro dispositivo en nuestra red zerotier

Ahora vamos a ver un ejemplo basico de uso de las reglas zerotier, imaginemos que deseamos bloquear todos los puertos que pueden permitir una conexion de acceso a nuestros dispositivos (http/web puerto 80, telnet puerto 23, ftp puerto 21/20, ssh puerto 22, puerto stream 8001/8002)

En este caso pues usariamos la siguiente regla:

drop
dport 80,23,21,20,22,8001,8002
;

La cual introduciriamos en la opcion reglas en la web de zerotier

zerotier1

Ahora ningun dispositivo se podria conectar usando los puertos que hemos añadido a la regla.

Pero claro ahora deseamos que por ejemplo un dispositivo en este caso un movil se pueda conectar a nuestro receptor en los puertos 80, 8001 y 8002 que tenemos bloqueados, pues para ello añadimos la siguiente regla

accept
ztsrc b376014a0a and ztdest a4beef91fa dport 8001 or dport 8002 or dport 80
;

zerotier2

ztsrc es el origen b376014a0a es la adress de nuestro movil ztdest es el destino a4beef91fa es la adress de nuestro receptor enigm2 dport 8001 or dport 8002 or dport 80 son los puertos que aceptamos los paquetes

zerotier3

Otra variante para aplicar esta regla podriamos usar

accept
ztsrc b376014a0a and ztdest a4beef91fa dport 8001 or dport 8002 or dport 23 or dport 80
;

drop
dport 80 or dport 23 or dport 21 or dport 22 or dport 8001 or dport 8002
;

De esta manera lo mismo bloqueamos ciertos puertos en general y luego aceptamos la conexion para un dispositivo en concreto, por lo que nuestro movil en este ejemplo se conectaria correctamente a los puertos que hemos aceptado

Simplemente si en la regla de aceptar a ese dispositivo quitamos puertos que aceptamos paquetes pues ya no se produciria la conexion

accept
ztsrc b376014a0a and ztdest a4beef91fa dport 8001 or dport 8002
;

zerotier10

Ahora hemos quitado los puertos 80 y 23 por lo tanto ahora el dispositivo no se conectaria

En el ejemplo anterior hemos visto que bloqueamos los puertos a todos los dispostivos por defecto que pongamos en la regla drop, y luego aceptamos los puertos que queremos para los dispositivos que deseamos.

Otra forma de hacer es quitar la opcion drop a los puertos, y por lo tanto aceptariamos todos los puertos entre dispositivos, pero luego ir dispositivo por dispositivo y denegar todos los puertos y aceptar solo los que deseemos.

Un ejemplo en este caso:

accept
ztsrc b376014a0a and ztdest a4beef91fa dport 80 or dport 8001 or dport 8002
;

drop
ztsrc b376014a0a

En este ejemplo bloqueamos todos los puertos a nuestro movil y aceptamos la conexion en nuestro deco enigma2 desde el movil en los puertos 80 8001 8002

Related posts

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: