Edgerouter Brannmur

[FranZe]

Nå sitter jeg her med dette leketøyet og forsøker å sette opp brannmuren manuelt. Får dette til men ikke helt slik jeg kunne tenkt meg. Skal åpne port til plex. Under port forwarding går det fint.

 

 

 

Det jeg ikke får til er å få med den original porten (60000) over til destination nat regelen. Det er noe jeg gjør feil, må jo sikkert bare være en liten ting i og med at det går fint med standard porten (32400 i stedet for 60000) som vist under.

 

 

 

Vil jo ha port 32400 privat og port 60000 offentlig i Plex    Setter stor pris på hvis det er noen som kan si hva jeg gjør galt her? 

[process]

Adress-group ADDRv4_eth5.102 er en adressegruppe som kun inkluderer adressen til eth5.102 interfacet.

[FranZe]

Ok, får rette meg selv litt her    Vil ikke vite hva jeg gjør galt men hvordan jeg skal få dette rett 

[FranZe]

Adress-group ADDRv4_eth5.102 er en adressegruppe som kun inkluderer adressen til eth5.102 interfacet.

 

Så det å fjerne den, sette Dest port på 60000 så vil det bli slik det skal være?

 

nat {

        rule 1 {

            description PlexServer

            destination {

                group {

                }

                port 60000

            }

            inbound-interface eth5.102

            inside-address {

                address 192.168.1.50

                port 32400

            }

            log disable

            protocol tcp

            source {

            }

            type destination

 

Samt at det da også er åpnet for port 32400 wan_in. Er dette noe som ser rett ut?

Endret 7. august 2019 av FranZe

[process]

Sorry - jeg satt på telefonen i farta og tenkte eth5.102 var det interne interface.  Jeg skal ta en nøyere titt litt senere, dette bør jo være rett fram.

Endret 7. august 2019 av process

[FranZe]

Sorry - jeg satt på telefonen i farta og tenkte eth5.102 var det interne interface.  Jeg skal ta en nøyere titt litt senere, dette bør jo være rett fram.

 

Hva det bør være og hva det er, er to helt forskjellige ting 

 

Neida, men dette har jeg holdt på å prøve å finne ut av en god stund. Det var enklere å sette opp dhcp servere, vlan og andre brannmur regler. Det var til og med enklere å skifte ut hjemmesentralen til Altibox. For en som ikke er så nettverks kyndig så er en på jakt etter informasjon om hvordan en gjør ting, og her var det ikke bare bare å finne den.

 

Men det ser nå ut som at det kanskje ble rett ved å droppe den nederste Dest Interface addr og bare bruke destination port 60000. Åpen port 32400 wan_in. Har nå i alle fall fjerntilgang og det lyser grønt og pent inne i plex'en 

Endret 7. august 2019 av FranZe

[Lindsay]

Plex benytter både tcp og udp, greit nok du har adgang remote. Men streaming skjer med udp.

[FranZe]

Plex benytter både tcp og udp, greit nok du har adgang remote. Men streaming skjer med udp.

 

Har streamet fra serveren og det går fint det, men kan ta med udp også

Endret 7. august 2019 av FranZe

[Lindsay]

Du har rett @FranZe de har nå endret, så det er jeg som må endre

[FranZe]

Du har rett @FranZe de har nå endret, så det er jeg som må endre

 

 

 

Plex er forresten en veldig kjekk ting å ha i heimen.

[FranZe]

Nå som jeg først er i gang så velger jeg å legge ut config filen her. Tror jeg har fått det til tålig greit men siden dette er temmelig nytt for meg så setter jeg stor pris på tilbakemelding hvis det er noen feil. Tenker da på sikkerheten først og fremst. Ser det greit ut med f.eks den chromecasten? Hvis det er noen som titter på dette så skrik hvis det oppdages noe som er feil. Har fjernet noen statiske ip adresser og sensurert litt 

 

 

firewall {
all-ping enable
broadcast-ping disable
group {
network-group RFC1918_PROTECTED_NETWORKS {
description RFC1918_PROTECTED_NETWORKS
network 192.168.0.0/16
network 172.16.0.0/12
network 10.0.0.0/8
}
port-group Plex_Ports {
description Plex_
port 32400
port 3005
port 32469
port 8324
port 5353
port 1900
port 32412
port 32413
port 32414

}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name ETH1.50_IN {
default-action accept
description ""
rule 10 {
action accept
description Allow_Chromecast
destination {
address 192.168.1.22
}
log disable
protocol all
source {
group {
}
}
}
rule 20 {
action drop
description "Drop PROTECT_NETWORKS"
destination {
group {
network-group RFC1918_PROTECTED_NETWORKS
}
}
log disable
protocol all
}
rule 30 {
action accept
description "accept established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 40 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name ETH1.50_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "accept DNS"
destination {
port 53
}
log disable
protocol udp
}
rule 2 {
action accept
description "accept DHCP"
destination {
port 67
}
log disable
protocol udp
}
}
name ETH1.50_OUT {
default-action accept
description ""
rule 1 {
action drop
description "Tidsbasert ungene hverdager"
log disable
protocol all
time {
startdate 2019-02-14
starttime 19:00:00
stopdate 2030-02-14
stoptime 08:00:00
weekdays !Fri,Sat
}
}
rule 2 {
action drop
description "Tidsbasert ungene helger"
log disable
protocol all
time {
startdate 2019-02-14
starttime 20:00:00
stopdate 2030-02-14
stoptime 08:00:00
weekdays Fri,Sat
}
}
}
name ETH1.60_IN {
default-action accept
description ""
rule 10 {
action accept
description Allow_Plex
destination {
address 192.168.1.50
group {
port-group Plex_Ports
}
}
log disable
protocol tcp_udp
source {
address 192.168.60.33
}
}
rule 30 {
action drop
description "Drop PROTECT_NETWORKS"
destination {
group {
network-group RFC1918_PROTECTED_NETWORKS
}
}
log disable
protocol all
}
rule 40 {
action accept
description "accept established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 50 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name ETH1.60_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "accept DNS"
destination {
port 53
}
log disable
protocol udp
}
rule 2 {
action accept
description "accept DHCP"
destination {
port 67
}
log disable
protocol udp
}
}
name ETH1_IN {
default-action accept
description ""
rule 1 {
action accept
description "accept established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name ETH1_OUT {
default-action accept
description ""
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 20 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 30 {
action accept
description "Allow PlexPort"
destination {
port 32400
}
log disable
protocol tcp
source {
}
}
rule 40 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 20 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
}
ethernet eth1 {
address 192.168.1.1/24
description LAN1
duplex auto
firewall {
in {
name ETH1_IN
}
out {
name ETH1_OUT
}
}
speed auto
vif 50 {
address 192.168.50.1/24
description Ungene
firewall {
in {
name ETH1.50_IN
}
local {
name ETH1.50_LOCAL
}
out {
name ETH1.50_OUT
}
}
mtu 1500
}
vif 60 {
address 192.168.60.1/24
description Gjest
firewall {
in {
name ETH1.60_IN
}
local {
name ETH1.60_LOCAL
}
}
mtu 1500
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN2
disable
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.10.1/24
description IPTV
duplex auto
firewall {
in {
}
}
mtu 1500
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
description "WAN IN SFP"
dhcp-options {
default-route update
default-route-distance 210
name-server update
}
duplex auto
mac xx:xx:xx:xx:xx:xx
speed auto
vif 100 {
description ALTIBOX_CONFIG
mtu 1500
}
vif 101 {
address dhcp
description "Altibox IPTV"
dhcp-options {
default-route no-update
default-route-distance 210
name-server update
}
}
vif 102 {
address dhcp
description "Altibox Internet"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
out {
name WAN_OUT
}
}
}
}
loopback lo {
}
}
port-forward {
auto-firewall disable
hairpin-nat disable
wan-interface eth5.102
}
protocols {
igmp-proxy {
interface eth3 {
role downstream
threshold 1
}
interface eth5.101 {
alt-subnet 172.21.0.0/16
role upstream
threshold 1
}
}
static {
route 172.21.0.0/16 {
next-hop xx.xx.xx.x {
}
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name Gjest-DHCP {
authoritative disable
subnet 192.168.60.0/24 {
default-router 192.168.60.1
dns-server 192.168.60.1
lease 86400
start 192.168.60.2 {
stop 192.168.60.254
}

}
}
}
shared-network-name IPTV {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 92.220.228.70
dns-server 109.247.114.4
lease 86400
start 192.168.10.2 {
stop 192.168.10.254
}
}
}
shared-network-name LAN1 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}

}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.2 {
stop 192.168.2.254
}
}
}
shared-network-name Ungene-DHCP {
authoritative disable
subnet 192.168.50.0/24 {
default-router 192.168.50.1
dns-server 192.168.50.1
lease 86400
start 192.168.50.2 {
stop 192.168.50.254
}

}
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 10000
listen-on eth1
listen-on eth2
listen-on eth3
listen-on eth1.50
listen-on eth1.60
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
mdns {
repeater {
interface eth1
interface eth2
interface eth1.50
}
}
nat {
rule 1 {
description PlexServer
destination {
group {
}
port 32400
}
inbound-interface eth5.102
inside-address {
address 192.168.1.50
port 32400
}
log disable
protocol tcp
source {
}
type destination
}
rule 5010 {
description "masquerade for WAN"
outbound-interface eth5.102
type masquerade
}
rule 5011 {
description "MASQ for ALTIBOX IPTV"
destination {
address 172.21.0.0/16
}
outbound-interface eth5.101
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
domain-name
host-name edgerouter
login {
user xxxxxx {
authentication {
encrypted-password
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipv4 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Oslo
traffic-analysis {
dpi disable
export disable
}


}
}
}
smart-queue QoS {
download {
ecn enable
flows 1024
fq-quantum 1514
limit 10240
rate 470mbit
}
upload {
ecn enable
flows 1024
fq-quantum 1514
limit 10240
rate 470mbit
}
wan-interface eth5.102
}
}