Вид для печати
Вложение 59962Цитата:
Сообщение от Евгений Кислов
Тут у вас 3 интерфейса.
Зоны firewall настраиваются для зон, соответственно. Чаще всего - по интерфейсам, так как они определяют "физические зоны". Если интерфейс не определен в зоне firewall, весь обмен по данному устройству должен быть отвергнут.
Вы ошибаетесь.Цитата:
Сообщение от keysansa
https://openwrt.org/docs/guide-user/..._configuration
Код:The defaults section declares global firewall settings which do not belong to specific zones:
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option custom_chains '1'
option drop_invalid '1'
option synflood_protect '1'
option synflood_rate '25/s'
option synflood_burst '50'
option tcp_ecn '1'
option tcp_syncookies '1'
option tcp_window_scaling '1'
Я думаю, вы ошибаетесь.Цитата:
Сообщение от Евгений Кислов
Правила Default действуют на зоны по умолчанию. Если интерфейс не включен в зону, для него вообще правила не действуют, и он не участвует в обмене. Иначе, любой хакер может создать интерфейс, которому плевать на правила firewall
https://youtu.be/HFc6Md65ptcЦитата:
Сообщение от keysansa
Посмотрите внимательно видео. Можно заметить, что интерфейс OpenVPN не включен ни в какую зону, но при этом через него удается пинговать ПЛК и загружать в него проект CODESYS.
Если вы не доверяете видео - можете повторить этот эксперимент сами.
У вас же есть наш ПЛК, верно? Уверен, что такой квалифицированный специалист как вы не стал бы попусту бросаться словами об оборудовании, с которым ему не приходилось работать.
Так и есть. Но чтобы создать интерфейс - хакеру нужно получить доступ к устройству, а если он его получил - создание интерфейса, скажем так, не самая опасная операция из тех, что он может совершить.Цитата:
Сообщение от keysansa