Policy based Routing und DENY-ALL-Regel?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
filou
Beiträge: 1202
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Policy based Routing und DENY-ALL-Regel?

Beitrag von filou »

Hallo,

Folgender Zustand:
2x ADSL, einmal dynamisch (Default-Route(Routing-Tag 0)), einmal fix (Routing-Tag 1)

Zieht dann eigentlich die DENY_ALL noch, auch wenn diese auf Routing-Tag 0 steht und die Fixe IP ein Routing-Tag 1 hat?

Ich habe momentan 2 DENY_ALL-Regeln, einmal auf Tag 0 und einmal auf Tag 1.

DENY_ALL mit Tag 0 steht momentan noch auf "nur Default-Route".
Wenn ich das rausnehme und diese trotzdem auf Tag 0 steht, wird sie dann generell angewendet, oder nur auf die Tag-0-Route?

Was passiert, wenn die 2. DENY_ALL-Regel (Tag 1) auf "nur Default-Route" steht, wird sie dann auf Tag 1 oder Tag 0 angewendet?

Ich hoffe, das kommt verständlich rüber :?
Gruß
Jens

...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi filou,
Zieht dann eigentlich die DENY_ALL noch, auch wenn diese auf Routing-Tag 0 steht und die Fixe IP ein Routing-Tag 1 hat?
ja, da das Routing-Tag einem Pake ja über die Firewall-regel erst zugewiesen wird. D.h. eas Paket matcht von seinen Adressen her auf Regel xy, daher wird ihm das in der Regel stehende Tag zugewiesen,. worüber dann die Routenauswahl erfolgt.

Also: Die DENY_ALL Regel matcht auf alles, was nicht vorher schon "abgegriffen" wurde.

Alle weiteren Fragen sollten damit beantwortet sein, bis auf diese:
Was passiert, wenn die 2. DENY_ALL-Regel (Tag 1) auf "nur Default-Route" steht, wird sie dann auf Tag 1 oder Tag 0 angewendet?
Um es kurz zu sagen: Es gibt nur eine Default-Route - und das ist die mit dem Tag 0. Wenn du also der Regel mit dem Tag 1 sagts, daß sie nur auf der Defaultroute gültig sein soll, dann kannst du diese Regel auch gleich weglassen, da sie nie matcht...

Gruß
Backslash
Benutzeravatar
filou
Beiträge: 1202
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

Hallo Backslash,

D.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind?



Was mich dabei stutzig macht...

Ich habe eine Webcam, die per FTP JPG´s verschickt.
Ich hatte dies probeweise auf aktives FTP gestellt.

Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.

Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP :?

Wie kommt das zustande?
Denn über die Route mit Tag 1, ist momentan nur Port 25 erlaubt und sonst sind keine Freigaben.

Kann ich mir bis hier her nicht erklären, oder habe ich da einen Denkfehler?
Gruß
Jens

...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi filou
D.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind
ja
Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.

Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP
Eigentlich hätte gar keine Regel zuschlagen dürfen, da die Firewall FTP erkennen und die entsprechende Session öffnen sollte...


Aber unabhängig davon gilt (wie schon gesagt): Die Regeln schauen NUR auf die IP-Adressen (oder MAC-Adressen, so angegeben). Wenn eine Regel matcht, DANN wird das Paket mit dem in der Regel angegebenen Tag versehen. Das Tag ist also nicht Bestandteil der "Auswahl" (Quelle/Ziel), sondern der Aktion (es wäre vermutlich besser gewesen, das Taggen auch explizit als Aktion zu definieren...)

Gruß
Backslash
Benutzeravatar
filou
Beiträge: 1202
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

Hallo Backslash,

Die Regel hat auch nur bei Port 20 zugeschlagen, was so richtig ist, denn Port 21 ist ja erlaubt ...aktives FTP (aber Port 20 war zu).

Nun ist mir trotzdem klar, warum die Regel mit Tag 1 zugeschlagen hat....
Da diese, in der Tabelle, noch vor der Regel mit Tag 0 steht und damit als erste zugetroffen hat, wie du schon schriebst.

So, nun bin ich mir auch sicher und lösche die "Hälfte des Doppels" :)

Vielen Dank für deine Unterstützung und Gedankenanregung! ...macht die Hitze :oops:
Gruß
Jens

...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Antworten