 |
|
|
|
| Autor |
Nachricht |
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
 Verfasst am:
Mi 27 Sep, 2006 06:37 |
  |
|
Moin, moin,
Ein kleines Verständnisproblem... bzw. Bitte um erschöpfende Erklärung!...
Deny-All-Strategie:
- Ich habe 2 Routen ...einmal mit Routing-Tag 0 und einmal Routing-Tag 1
- Eine Regel für SMTP (Port 25) ausgehend /Tag 1
- Eine Regel für SMTP eingehend /Tag 1
- Forwarding Port 25 auf Mail-Server
Ausgehend zieht die Route über Tag 1 ...das funktioniert.
Eingehend kommen die Pakete aber nachwievor über Route 0, obwohl die Firewall-Regel auf Tag 1 steht.
Das dürfte doch garnicht sein, oder wird das Tag nur für ausgehende Paket angehängt!?
Nun möchte ich aber, dass über diese Route (dyn. IP) der Port 25 garnicht offen ist.
Wie kann ich regeln, dass SMTP auch eingehend über Route 1 laufen?
Vielen Dank schonmal vorab! |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Mi 27 Sep, 2006 07:55 |
|
|
nochmal zusammengefasst:
also dein forwarding eintrag zeit auf die interne ip des smtp servers.
du hast den port auch in der firewall freigegeben
von quelle alle an ip-addresse des smtp-servers und basierend auf deiner flussrichtung lässt du die pakete mit einem tag 1 markieren. hast du den FIREWALL TRACE mal dahingehend angesehen?
wie wäre es mit der idee eine hostroute für deinen smtp-server in die routing-tabelle des lancom einzupflegen, die dann als tag das 1 benutzt.
funktioniert es dann? |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mi 27 Sep, 2006 08:04 |
|
|
| Zitat:
|
nochmal zusammengefasst:
also dein forwarding eintrag zeit auf die interne ip des smtp servers.
du hast den port auch in der firewall freigegeben
von quelle alle an ip-addresse des smtp-servers und basierend auf deiner flussrichtung lässt du die pakete mit einem tag 1 markieren.
|
Ja, so stehts momentan.
Mich würde nur mal interessieren, ob die Policy so auch ziehen sollte, wenn auf Port 25 Pakete eingehend kommen, oder nur greift für ausgehende Pakete? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Mi 27 Sep, 2006 08:35 |
|
|
ich meine, dass die "policies" mit deren tag nur bei vorhandenem routing-eintrag funktionionieren. die scheinen ja UND-verknüpft zu sein.
den die auswahl der wegesteuerung (route) wird ja schließlich durch das gesetzte tag ermöglicht. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
tunichtgut
Moderator
Anmeldungsdatum: 19.10.2005
Beiträge: 214
|
| Verfasst am:
Mi 27 Sep, 2006 09:10 |
|
|
| filou hat folgendes geschrieben:
|
Mich würde nur mal interessieren, ob die Policy so auch ziehen sollte, wenn auf Port 25 Pakete eingehend kommen, oder nur greift für ausgehende Pakete?
|
Überleg doch selbst mal, wie soll der Router denn Einfluss darauf nehmen auf welcher WAN Verbindung ein Packet reinkommt ? Der Router kann nur ausgehende Packete taggen und über die entsprechend getaggte Route rauschicken. |
_________________
Gruss
tunichtgut |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mi 27 Sep, 2006 09:31 |
|
|
Gedacht hatte ich mir das, nach dem Ergebnis...
Aber andererseits wieder angenommen, dass Pakete durch die Firewall geblockt werden, wenn eine Deny_all besteht und die Regel, die diesen Port öffnet und auf Tag 1 ist, auch nur Pakete über disen WAN-Port einlässt.
Somit kann ich mir das Setzen des Routing-Tags für Regeln die Ports ins Intranet öffnen sparen  ...Der Port ist an IP 1 und IP 2 gleichermaßen auf...
Welche Möglichkeiten habe ich, den eingehenden Traffic portbasierend, sonst zusteuern ...d.h. z.B. an WAN-IP 1 blocken, an WAN-IP 2 durchlassen  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Mi 27 Sep, 2006 10:57 |
|
|
hallo,
ich habe das gewünschte verhalten mal in bezug auf qos angesprochen:
http://www.lancom-forum.de/topic,103,15,-E...egeln.html
Ein eingehendes Policy-Based-Routing kann nur funktionieren, wenn wirklich einzelne Interfaces zum Tagging bereigestellt werden. Momentan hast du ja keine Möglichkeit zu sagen, dass die Regel nur für die WAN-Interfaces DSL-1 oder DSL-2 gelten soll. Dies hätte dann auch den Vorteil den Port nur für eine bestimmte WAN-verbindung zu kontrollieren.
(Da sind wir schon wieder bei dem Punkt angelangt).
Ansonsten kannst du nur dem Empfang der Pakete zu einer gewissen Leitung fest zuordnen. Aber dann müssen sämtliche Pakete an genau diese eine IP-Adresse geschickt werden. Reagieren n-IP-Adressen auf den Port wirst du nie eine saubere Trennung erzielen können. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mi 27 Sep, 2006 11:18 |
|
|
| ittk hat folgendes geschrieben:
|
Ansonsten kannst du nur dem Empfang der Pakete zu einer gewissen Leitung fest zuordnen. Aber dann müssen sämtliche Pakete an genau diese eine IP-Adresse geschickt werden. Reagieren n-IP-Adressen auf den Port wirst du nie eine saubere Trennung erzielen können.
|
Noch zur Erklärung von mir:
Momentan bestehen einige email-Weiterleitungen an die "name.dyndns.org" welche mit WAN-IP 1 verknüpft ist.
Deshalb kommen die Mails auch über diesen Port rein.
Nachdem ich die Mailweiterleitungen auf die feste IP (WAN-IP 2) umgestellt habe, dann kommen die auch dort an.
Nur hoffte ich den Port 25 an der 1.(dyn.) IP zuschließen und das mit dem Routing-Tag zu erreichen....
Da es eine dyn. IP ist, kann ich keine Regel entwerfen, die von mir aus sagt...
Schließe Port 25 von Station WAN-1.
Es läuft eben momentan alls nur über das interne Modem. |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4567
Wohnort: Aachen
|
| Verfasst am:
Mi 27 Sep, 2006 18:57 |
|
|
Hi filou,
wie bereits von tunichtgut gesagt, funktioniert das Tagging nur für abgehende Pakete.
Wenn du die einkommenden Pakete nur auf einer bestimmten Internetverbindung zulassen willst, dann muß du diese Verbindung als Quelle angeben.
Wenn du also die Verbindungen INET-1 und INET-2 hastund du Mails nur von INET-1 empfangen willst, dann brauchst du folgenden Filter:
| Code:
|
Aktion: Übertragen
Quelle: Gegenstelle INET-1
Ziel: IP des Mail-Servers
Dienst: Zielport 25
|
Dadurch matcht der Filter nur auf Pakete, die einerseits aus dem über den Routing-Eintrag für INET-1 definierten Netz (0.0.0.0/0.0.0.0) kommen *UND* andererseits auch über genau diese Verbindung empfangen wurden - d.h. SMTP-Pakete, die auf INET-2 empfangen werden, laufen in die DENY-ALL Regel.
Gruß
Backslash |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Sep, 2006 06:36 |
|
|
Moin Backslash,
| Zitat:
|
Quelle: Gegenstelle INET-1
|
Der Gegenstelle vom Provider?
Ich habe solche Regel, aber als Quelle habe ich die IP´s der weiterleitenden Mail-Server vom Webhoster eingetragen. Das funktioniert. Also es werden auch nur Verbindungen von diesen IP´s angenommen.
Aber eben gerade auf der WAN-IP, auf die ich die Umleitung eingerichtet habe 
Soll ich eine zweite Regel mit Gegenstelle vom Provider erstellen?
Ist die immer gleich?
Manchmal steht sie im Lanmonitor, meistens aber nicht!
Wieso eigentlich?
Was, wenn sich die IP ändert? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Do 28 Sep, 2006 08:01 |
|
|
Wenn du die Gegenstelle (die konfigurierte Internetverbindung zu deinem Provider) einträgst, dann als Verbindungsquelle immer die aktuell zugewiesene IP deines ISP ergeben. Alles was von diesem Provider empfagen wird durch diese Regel explizit erlaubt. Die andere Internetverbindung ist durch die Deny-ALL-Regel weiterhin blockiert. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Sep, 2006 08:07 |
|
|
Moin ittk,
Also du denkst, dass backslash die WAN-IP, die mir zugewiesen ist, meint?
Na bei der festen IP, wie an WAN2, wäre das kein Problem.
Dort solls ja auch sein.
...und bei einer dyn. IP...? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Do 28 Sep, 2006 08:17 |
|
|
Hallo Jens,
| Zitat:
|
|
...und bei einer dyn. IP...?
|
deswegen schrieb backslash ja auch Du sollst den _Gegenstellen_ Namen im Filter benutzen. 
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
 |
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Sep, 2006 08:52 |
|
|
Moin LoUiS,
Aah, jetzt ist der Groschen gefallen... danke Euch!
Das probiere ich  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Sep, 2006 19:42 |
|
|
Hi,
Es funktioniert.
Ich musste es nur nach meinen Bedürfnissen anpassen:
| Code:
|
Aktion: Zurückweisen
Quelle: Gegenstelle INET-1
Ziel: IP des Mail-Servers
Dienst: Zielport 25
|
Zurückweisen, da ich ja schon die Weiterleitungsregel (Quelle: IP´s der weiterleitenden Server) und das ganze ja über INET-2 laufen soll.
Deshalb INET-1 zurückweisen.
Da sich diese Deny-Regel nach der "Erlaube Weiterleitung" in der Firewall einordnet, musste ich sie mit einer höheren Priorität einordnen, dass sie vorher abgearbeitet wird. |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
|
|
|
|
| |
|
|
