LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 27 Mai 2018, 15:44

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 04 Mai 2018, 16:32 
Offline

Registriert: 25 Jul 2008, 10:46
Beiträge: 110
Hallo zusammen,
wir benutzen seit einigen Wochen den Content-Filter und sind nun auf folgendes Problem gestoßen:
Ein Haken bei "Weitere Regeln beachten, nachdem diese Regel zutrifft" wirkt nicht bei der Firewall-Regel für den Content-Filter.

Hintergrund:
Wir setzen einen Load-Balancer mit zwei DSL-Verbindungen ein. Da es viele HTTP(S)-Server nicht mögen, wenn während einer Sitzung die IP-Adresse des Absenders wechselt, gibt es in der Firewall eine Tag-Regel, die HTTP- und HTTPS-Traffic fest auf eine der beiden Verbindungen bindet. Alle Pakete mit Tag werden im Router auf DSL-Anschluss 1 oder 2 in Abhängigkeit vom Tag geleitet. Nur ungetaggte Pakete erreichen den Load-Balancer. Das hat soweit mehrere Jahre einwandfrei funktioniert.

Seit Verwendung des Content-Filters greift nun offensichtlich die Tag-Regel nicht. Der Content-Filter wurde vom Assistenten mit Priorität 9999 eingerichtet, die übrigen Regeln haben - bis auf Ausnahmen - Priorität 0. Darüber hinaus setzt der Assistent beim Content-Filter nicht den Haken "Weitere Regeln beachten...". Dadurch allein kann man die Firewall-Konfiguration ganz schön aus dem Tritt bringen.

Aber wie gesagt, auch mit gesetztem Haken werden offenbar die weiteren Regeln nicht mehr durchlaufen. Ich halte das für einen Bug.

Als Workaround habe ich momentan die Tag-Regel mit einer höheren Priorität als die Regel für den Content-Filter versehen und bei der Tag-Regel den Haken "Weitere Regeln beachten..." gesetzt. Damit scheint es wieder zu funktionieren.

Handelt es sich bei dem beschriebenen Verhalten wirklich um einen Bug oder liegt ein Konfigurationsfehler vor?

Nachtrag: LCOS 10.12.0292RU6

_________________
Hagen


Nach oben
 Profil  
 
BeitragVerfasst: 04 Mai 2018, 18:30 
Offline
Moderator
Moderator

Registriert: 08 Nov 2004, 22:26
Beiträge: 5700
Wohnort: Aachen
Hi Hagen2000,

Zitat:
Darüber hinaus setzt der Assistent beim Content-Filter nicht den Haken "Weitere Regeln beachten...". Dadurch allein kann man die Firewall-Konfiguration ganz schön aus dem Tritt bringen.

nun ja, du bekommst "nur" dann ein Problem, wenn du bestimmte Adreßbereiche sperren willst - aber das soll ja eigentlich der Kontentfilter übernehmen... Daher sehe ich das erstmal nicht als Problem. Abgesehen davon: ein Wizard ist halt nur für einfache Konfigurationen da...

Zitat:
Aber wie gesagt, auch mit gesetztem Haken werden offenbar die weiteren Regeln nicht mehr durchlaufen. Ich halte das für einen Bug.

doch sie werden durchlaufen aber...

Zitat:
Handelt es sich bei dem beschriebenen Verhalten wirklich um einen Bug oder liegt ein Konfigurationsfehler vor?

letztendlich ist das ein Konfigfurationsfehler...

Der Punkt ist: Wenn du mehrere Regeln hast, die alle ein unterschiedliches Tag setzes - welches soll genommen werden... Hier nimmt das LANCOM *immer* das Tag, das isn der ersten matchenden Regel gesetzt wird. Du mußt also tatsächlich die taggende Regel nach "oben" holen...


Ganz nebenbei: Für das Loadbalancer-Problem gibt es die Client-Bindung. Dann brauchst du nicht mehr manuell zu taggen, sondern überläßt dem Loadbalancer die Verteilung... Einzig die Parameter für die Client-Bindung sind problematisch (siehe http://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/masquerading-natting-scheint-nicht-zu-funktionieren-t16216.html#p94993). Die Defaultwerte funktionieren nur dann, wenn du nicht sofort nach dem Login einen weiteren Link anklickst, sondern mindestens 10 Sekunden (=> "Balance-Sekunden") wartest. Du kanntst "Balance-Sekunden" auch auf 0 stellen, schaltest damit aber die Möglichkeit ab, daß der Loadbalancer das Nachladen von Bildern verteilt...


Gruß
Backslash


Nach oben
 Profil  
 
BeitragVerfasst: 04 Mai 2018, 19:47 
Offline

Registriert: 25 Jul 2008, 10:46
Beiträge: 110
Hallo backslash,

vielen Dank für die Erläuterungen. Somit habe ich ja jetzt die korrekte Konfiguration schon gefunden.

Aber zwei Fragen hätte ich noch:

1. In der Firewall-Regel und auch im Content-Filter selbst wird doch gar kein Tag gesetzt. Auch in der IP-Router / Filter-Liste steht beim Content-Filter in der Spalte "Rtg-Tag" der Wert 0. Bislang bin ich davon ausgegangen, dass der Wert 0 bedeutet, dass das Tag nicht gesetzt wird. Wodurch wird denn nun beim Content-Filter ein Tag gesetzt?

2. Gibt es im Referenzhandbuch eine Erläuterung für den Fall, dass mehrere Regeln das Tag setzen wollen? Ich habe da nichts finden können.

_________________
Hagen


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Content Filter - Bittorrent - u.ä.

COMCARGRU

1

6981

28 Okt 2011, 12:48

backslash Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Lancom Content Filter vs Watchguard

henryy

10

3039

13 Feb 2013, 23:47

P4killer Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Allgemeine Frage zum Content-Filter

wolfgang-12

4

923

12 Apr 2016, 19:35

wolfgang-12 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Regelerzeugung, Frage zu Checkbox "weitere Regeln beachten"

hilton_lan

2

864

06 Jul 2015, 20:46

hilton_lan Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Content Filter funktioniert scheinbar nicht

Neuling

0

8302

12 Okt 2010, 12:12

Neuling Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group