Antes de comenzar dar las gracias a @DiegolmVK por la introduccion en las reglas firewall en zerotier.
Zerotier es una aplicacion de codigo abierto la cual usa los ultimos desarrollos SDN que nos permite crear redes seguras y tratar nuestro receptor enigma2 asi como todos los dispositivos conectados a nuestra red zerotier como si estuvieran en la misma red fisica.
Es una tecnología cifrada punto a punto, lo que significa que, a diferencia de las soluciones VPN tradicionales, las comunicaciones no necesitan pasar a través de un servidor central o enrutador; los mensajes se envían directamente de un host a otro. Como resultado, es muy eficiente y garantiza una latencia mínima. Otros beneficios incluyen el sencillo proceso de implementación y configuración de ZeroTier, el mantenimiento directo y que permite el registro centralizado y la gestión de nodos autorizados a través de la consola web.
Para realizar red zerotier en nuestro receptores enigma2 podemos seguir este articulo de nuestra web
Reglas firewall Zerotier
Cuando realizamos la conexion zerotier entre nuestros dispositivos un problema que nos podemos encontrar es que como hemos comentado al realizar dicha conexion todos los dispositivos es como si estuvieran en la misma red fisica lo que provoca que todos los dispositivos tienen acceso a todos los puertos de los diferentes dispositivos que se encuentra en ella. Al igual que ocurre si en vez de zerotier usaramos una conexion openvpn el usuario que se conectara a nuestro receptor a traves de openvpn tendria acceso a todos los puertos del mismo que implicaria que en este caso con openvpn una opcion seria usar iptables.
Una ventaja en el caso de zerotier es que lleva integrado un firewall que mediante reglas al igual que con iptables podemos filtrar el trafico de red entre dispositivos, en este caso vamos a ver un ejemplo simple, no vamos a entrar en profundidad, podeis seguir el manual completo de zerotier para entender las reglas del firewall:
https://www.zerotier.com/manual/
Para el ejemplo que vamos a realizar simplemente vamos a tener en cuenta:
accept = aceptar paquetes
drop = descartar paquetes
ztsrc = origen
ztdest = destino
dport = rango puertos
Adress = identificador de nuestro dispositivo en nuestra red zerotier
Ahora vamos a ver un ejemplo basico de uso de las reglas zerotier, imaginemos que deseamos bloquear todos los puertos que pueden permitir una conexion de acceso a nuestros dispositivos (http/web puerto 80, telnet puerto 23, ftp puerto 21/20, ssh puerto 22, puerto stream 8001/8002)
En este caso pues usariamos la siguiente regla:
drop
dport 80,23,21,20,22,8001,8002
;
La cual introduciriamos en la opcion reglas en la web de zerotier
Ahora ningun dispositivo se podria conectar usando los puertos que hemos añadido a la regla.
Pero claro ahora deseamos que por ejemplo un dispositivo en este caso un movil se pueda conectar a nuestro receptor en los puertos 80, 8001 y 8002 que tenemos bloqueados, pues para ello añadimos la siguiente regla
accept
ztsrc b376014a0a and ztdest a4beef91fa dport 8001 or dport 8002 or dport 80
;
ztsrc es el origen b376014a0a es la adress de nuestro movil ztdest es el destino a4beef91fa es la adress de nuestro receptor enigm2 dport 8001 or dport 8002 or dport 80 son los puertos que aceptamos los paquetes
Otra variante para aplicar esta regla podriamos usar
accept
ztsrc b376014a0a and ztdest a4beef91fa dport 8001 or dport 8002 or dport 23 or dport 80
;
drop
dport 80 or dport 23 or dport 21 or dport 22 or dport 8001 or dport 8002
;
De esta manera lo mismo bloqueamos ciertos puertos en general y luego aceptamos la conexion para un dispositivo en concreto, por lo que nuestro movil en este ejemplo se conectaria correctamente a los puertos que hemos aceptado
Simplemente si en la regla de aceptar a ese dispositivo quitamos puertos que aceptamos paquetes pues ya no se produciria la conexion
accept
ztsrc b376014a0a and ztdest a4beef91fa dport 8001 or dport 8002
;
Ahora hemos quitado los puertos 80 y 23 por lo tanto ahora el dispositivo no se conectaria
En el ejemplo anterior hemos visto que bloqueamos los puertos a todos los dispostivos por defecto que pongamos en la regla drop, y luego aceptamos los puertos que queremos para los dispositivos que deseamos.
Otra forma de hacer es quitar la opcion drop a los puertos, y por lo tanto aceptariamos todos los puertos entre dispositivos, pero luego ir dispositivo por dispositivo y denegar todos los puertos y aceptar solo los que deseemos.
Un ejemplo en este caso:
accept
ztsrc b376014a0a and ztdest a4beef91fa dport 80 or dport 8001 or dport 8002
;
drop
ztsrc b376014a0a
En este ejemplo bloqueamos todos los puertos a nuestro movil y aceptamos la conexion en nuestro deco enigma2 desde el movil en los puertos 80 8001 8002
amigo, como le puedo hacer para que zerotier permita accesar a un servidor web por el puerto 80?
segun yo seria asi:
accept
dport 80;
Saludos
para soporte pasa por telegram