Hallo,
Folgender Zustand:
2x ADSL, einmal dynamisch (Default-Route(Routing-Tag 0)), einmal fix (Routing-Tag 1)
Zieht dann eigentlich die DENY_ALL noch, auch wenn diese auf Routing-Tag 0 steht und die Fixe IP ein Routing-Tag 1 hat?
Ich habe momentan 2 DENY_ALL-Regeln, einmal auf Tag 0 und einmal auf Tag 1.
DENY_ALL mit Tag 0 steht momentan noch auf "nur Default-Route".
Wenn ich das rausnehme und diese trotzdem auf Tag 0 steht, wird sie dann generell angewendet, oder nur auf die Tag-0-Route?
Was passiert, wenn die 2. DENY_ALL-Regel (Tag 1) auf "nur Default-Route" steht, wird sie dann auf Tag 1 oder Tag 0 angewendet?
Ich hoffe, das kommt verständlich rüber
Policy based Routing und DENY-ALL-Regel?
Moderator: Lancom-Systems Moderatoren
Policy based Routing und DENY-ALL-Regel?
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hi filou,
Also: Die DENY_ALL Regel matcht auf alles, was nicht vorher schon "abgegriffen" wurde.
Alle weiteren Fragen sollten damit beantwortet sein, bis auf diese:
Gruß
Backslash
ja, da das Routing-Tag einem Pake ja über die Firewall-regel erst zugewiesen wird. D.h. eas Paket matcht von seinen Adressen her auf Regel xy, daher wird ihm das in der Regel stehende Tag zugewiesen,. worüber dann die Routenauswahl erfolgt.Zieht dann eigentlich die DENY_ALL noch, auch wenn diese auf Routing-Tag 0 steht und die Fixe IP ein Routing-Tag 1 hat?
Also: Die DENY_ALL Regel matcht auf alles, was nicht vorher schon "abgegriffen" wurde.
Alle weiteren Fragen sollten damit beantwortet sein, bis auf diese:
Um es kurz zu sagen: Es gibt nur eine Default-Route - und das ist die mit dem Tag 0. Wenn du also der Regel mit dem Tag 1 sagts, daß sie nur auf der Defaultroute gültig sein soll, dann kannst du diese Regel auch gleich weglassen, da sie nie matcht...Was passiert, wenn die 2. DENY_ALL-Regel (Tag 1) auf "nur Default-Route" steht, wird sie dann auf Tag 1 oder Tag 0 angewendet?
Gruß
Backslash
Hallo Backslash,
D.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind?
Was mich dabei stutzig macht...
Ich habe eine Webcam, die per FTP JPG´s verschickt.
Ich hatte dies probeweise auf aktives FTP gestellt.
Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.
Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP
Wie kommt das zustande?
Denn über die Route mit Tag 1, ist momentan nur Port 25 erlaubt und sonst sind keine Freigaben.
Kann ich mir bis hier her nicht erklären, oder habe ich da einen Denkfehler?
D.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind?
Was mich dabei stutzig macht...
Ich habe eine Webcam, die per FTP JPG´s verschickt.
Ich hatte dies probeweise auf aktives FTP gestellt.
Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.
Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP
Wie kommt das zustande?
Denn über die Route mit Tag 1, ist momentan nur Port 25 erlaubt und sonst sind keine Freigaben.
Kann ich mir bis hier her nicht erklären, oder habe ich da einen Denkfehler?
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hi filou
Aber unabhängig davon gilt (wie schon gesagt): Die Regeln schauen NUR auf die IP-Adressen (oder MAC-Adressen, so angegeben). Wenn eine Regel matcht, DANN wird das Paket mit dem in der Regel angegebenen Tag versehen. Das Tag ist also nicht Bestandteil der "Auswahl" (Quelle/Ziel), sondern der Aktion (es wäre vermutlich besser gewesen, das Taggen auch explizit als Aktion zu definieren...)
Gruß
Backslash
jaD.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind
Eigentlich hätte gar keine Regel zuschlagen dürfen, da die Firewall FTP erkennen und die entsprechende Session öffnen sollte...Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.
Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP
Aber unabhängig davon gilt (wie schon gesagt): Die Regeln schauen NUR auf die IP-Adressen (oder MAC-Adressen, so angegeben). Wenn eine Regel matcht, DANN wird das Paket mit dem in der Regel angegebenen Tag versehen. Das Tag ist also nicht Bestandteil der "Auswahl" (Quelle/Ziel), sondern der Aktion (es wäre vermutlich besser gewesen, das Taggen auch explizit als Aktion zu definieren...)
Gruß
Backslash
Hallo Backslash,
Die Regel hat auch nur bei Port 20 zugeschlagen, was so richtig ist, denn Port 21 ist ja erlaubt ...aktives FTP (aber Port 20 war zu).
Nun ist mir trotzdem klar, warum die Regel mit Tag 1 zugeschlagen hat....
Da diese, in der Tabelle, noch vor der Regel mit Tag 0 steht und damit als erste zugetroffen hat, wie du schon schriebst.
So, nun bin ich mir auch sicher und lösche die "Hälfte des Doppels"
Vielen Dank für deine Unterstützung und Gedankenanregung! ...macht die Hitze
Die Regel hat auch nur bei Port 20 zugeschlagen, was so richtig ist, denn Port 21 ist ja erlaubt ...aktives FTP (aber Port 20 war zu).
Nun ist mir trotzdem klar, warum die Regel mit Tag 1 zugeschlagen hat....
Da diese, in der Tabelle, noch vor der Regel mit Tag 0 steht und damit als erste zugetroffen hat, wie du schon schriebst.
So, nun bin ich mir auch sicher und lösche die "Hälfte des Doppels"
Vielen Dank für deine Unterstützung und Gedankenanregung! ...macht die Hitze
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224