 |
|
|
|
| Autor |
Nachricht |
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
 Verfasst am:
Do 28 Jul, 2005 13:27 |
  |
|
Hallo,
ich möchte zu der "Basic Internet" Deny All Strategie im Referenzhandbuch gerne zusätzlich diese ALLOW_PING Regel erstellen. Die Firewallregeln erstelle ich mittels Setupassistenten.
Nun sind im Handbuch zwar alle Einstellungen für die ALLOW_PING Regel aufgeführt, aber ich weiss nicht, wie ich mittels Setup Assistent den Dienst ICMP einstellen soll. Unter den speziellen Diensten wird ICMP ja nicht aufgeführt.
Es gibt zwar eine Checkbox unter Benutzerdefinierte Protokolle, aber dort sind noch weitere Einstellmöglichkeiten wie "Weitere Ip Protokolle" und "Ports" vorhanden. Mangels Kenntnis weiss ich nicht, was ich da nun einzustellen habe, um einen Ping bzw. ICMP explizit zu erlauben.
Für einen kleinen Tipp wäre ich sehr dankbar. |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 14:13 |
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 14:25 |
|
|
Hallo DSL10Off,
| Zitat:
|
|
Es gibt zwar eine Checkbox unter Benutzerdefinierte Protokolle, aber dort sind noch weitere Einstellmöglichkeiten wie "Weitere Ip Protokolle" und "Ports" vorhanden.
|
Also bei mir gibt es neben der Checkbox einen Button "Protokolle bearbeiten" und dort kann man explizit ICMP auswählen.
Gruß
Mario |
|
|
|
|
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
| Verfasst am:
Do 28 Jul, 2005 14:38 |
|
|
| Zitat:
|
|
Also bei mir gibt es neben der Checkbox einen Button "Protokolle bearbeiten" und dort kann man explizit ICMP auswählen.
|
Ich habe ja eigentlich auch von dem Fenster unter "Protokolle bearbeiten" gesprochen. Genau genommen ist das runde Ding neben "Benutzerdefinierte Protokolle" ein Radio Button. Die erwähnte Checkbox findest du nur nach einem Klick auf "Protokolle bearbeiten". Checkboxen sind die quadratische Teile, die bei einem Klick einen Haken erhalten. Trotzdem natürlich dank für deine Mühe.
@filou
Dank auch dir für die Informationen. Ich weiss allerdings nicht, wie ich die jetzt einsetzen soll.
Ich beschreibe mal die Möglichkeiten unter "Protokolle bearbeiten". Der Titel des Fensters ist übrigens "Dienste/Protokolle" falls das wichtig ist.
Oben drei Checkboxen: TCP, UDP, ICMP
darunter ein Eingabefeld: "weitere IP-Protokolle:"
darunter ein Bereich "Ports" mit zwei Eingabefeldern: "Quell-Ports" "Ziel-Ports"
So, was muss ich nun in diese Felder eingeben, um den Ping zu erlauben?
Reicht das Anklicken von ICMP oder muss ich in die anderen Felder auch etwas eintragen?
Muss ich unter "Weitere IP-Protokolle" dann die "1" in das Eingabefeld notieren?
Und wie steht es mit Quell- und Zielports? Ist dann einer davon "0"?
Entschuldige falls ich etwas schwer von Begriff bin.  |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Do 28 Jul, 2005 15:31 |
|
|
Hi,
| Zitat:
|
|
Entschuldige falls ich etwas schwer von Begriff bin. Laughing
|
nein, Du bist nicht schwer von Begriff, Du kennst nur einfach die Protokolle nicht.  Drueck mal im LANconfig auf "F1", das gibt bereits eine kleine Hilfe. Um Deine Frage zu beantworten, ICMP anzuklicken reicht um den Ping zu erlauben. 
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
| Verfasst am:
Do 28 Jul, 2005 16:24 |
|
|
Vielen Dank nochmal an alle.
Habe die Einstellung jetzt vorgenommen wie LoUiS gesagt hat. Zumindest wird keine DENY_ALL Firewall Meldung angezeigt. Es sollte also funktionieren.
Wobei es komisch ist, das die Firewallregel per Setup-Assistent den Haken bei ICMP nicht gespeichert hatte, sondern auf einmal wieder der Dienst HTTP markiert war.
Ich musste die Regel nachträglich bearbeiten. Damit der Haken drinbleibt, bzw. die Option "Benutzerdefinierte Protokolle" markiert bleibt. Ich hoffe es ist jetzt alles richtig eingestellt. Nicht das ich mir da ein Scheunentor in die Firewall eingebaut habe.
Sehr ergiebig war die Hilfe über F1 übrigens nicht.
Hat denn eigentlich keiner von euch eine ALLOW_PING Regel konfiguriert? Und wenn doch, hab ihr außer dem Haken bei ICMP noch etwas anderes eingestellt? (wie IP-Protokolle oder irgendwelche Ports) |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 17:04 |
|
|
| DSL10Off hat folgendes geschrieben:
|
|
Nicht das ich mir da ein Scheunentor in die Firewall eingebaut habe.
|
So lange du als Quelle alle lokalen Stationen und Ziele alle eingestellt hast ...kein Problem.
Wenn du als Quelle alle genommen hast, würde ich das auf oben genannte Konfig abändern und deine FW ist in der Hinsicht dicht! |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
| Verfasst am:
Do 28 Jul, 2005 17:14 |
|
|
Quelle ist bei mir Alle Stationen im lokalen Netz. Ziele sind bei mir alle Stationen.
Ich denke mal das hast du gemeint. 
Dann bin ich ja beruhigt.  |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel) |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 17:37 |
|
|
| DSL10Off hat folgendes geschrieben:
|
Ich denke mal das hast du gemeint.
|
Jo, perfekt |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 18:09 |
|
|
Hallo DSL10Off,
| Zitat:
|
|
Hat denn eigentlich keiner von euch eine ALLOW_PING Regel konfiguriert?
|
Du ja auch nicht. Du hast eine ALLOW_ICMP Regel erstellt. Eine ALLOW_PING Regel würde nur die Typen 0 und 8 einbeziehen.
| Zitat:
|
|
Und wenn doch, hab ihr außer dem Haken bei ICMP noch etwas anderes eingestellt? (wie IP-Protokolle oder irgendwelche Ports)
|
Nein, da ICMP Pakete nicht blockiert werden sollten. Außer vielleicht ICMP-Redirects, welche aus dem Internet empfangen werden. Bin mir aber nicht sicher, ob das bereits vom IDS abgefangen wird.
Aber falls Du experimentieren willst, hier mal ein Link:
http://www.iana.org/assignments/icmp-parameters
Gruß
Mario |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 18:13 |
|
|
Hallo Jens,
| Zitat:
|
|
Wenn du als Quelle alle genommen hast, würde ich das auf oben genannte Konfig abändern und deine FW ist in der Hinsicht dicht!
|
hmm - das sollte aber nur erforderlich sein, falls im LAN nicht mit NAT gearbeitet wird. Ein Host im Internet wird mir schwerlich ein ICMP-Paket an eine private IP senden können (Portforwarding mal ausgenommen).
Gruß
Mario |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 28 Jul, 2005 18:42 |
|
|
Hallo LoUiS,
| Zitat:
|
|
Drueck mal im LANconfig auf "F1", das gibt bereits eine kleine Hilfe.
|
wobei das "F1"-Beispiel wohl schlecht gewählt ist. Einen Zielport 0x0800 kann ich da jedenfalls nicht eingeben. Das 'x' gefällt dem LanConfig nicht.
Gruß
Mario |
|
|
|
|
DSL10Off
Anmeldungsdatum: 28.07.2005
Beiträge: 73
|
| Verfasst am:
Do 28 Jul, 2005 18:42 |
|
|
| Zitat:
|
|
Du ja auch nicht. Du hast eine ALLOW_ICMP Regel erstellt. Eine ALLOW_PING Regel würde nur die Typen 0 und 8 einbeziehen.
|
Jetzt bin ich doch ein bisschen verwirrt. Auf der einen Seite sehe ich ein, das es eine ALLOW_ICMP Regel ist, auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben. Wo liegt den jetzt der Fehler?
| Zitat:
|
|
Nein, da ICMP Pakete nicht blockiert werden sollten.
|
Dazu auch noch eine Frage. Wenn ich die "Basic Internet" DENY ALL Strategie so umsetze wie im Handbuch, ohne das ALLOW_PING würde ICMP doch auch komplett blockiert werden, oder nicht? Wenn diese Pakete nicht blockiert werden sollten, warum gibt Lancom dann solch eine Empfehlung nicht an dieser Stelle im Handbuch aus.
Wie müsste den nun eine korrekte ALLOW_PING Regel aussehen? Ich gebe zu, ich kenn mich was die Protokolle, Codes und Typen angeht überhaupt nicht aus. Wo müsste man den die Typen 0 und 8 in der Regel notieren?
In der Kontexthilfe zum Fenster "Protokolle bearbeiten" steht übrigens folgendes:
| Zitat:
|
...
Wird ICMP (1) alleine ausgewählt, so beschreibt der Port das Typ/Code-Paar im ICMP-Paket. Dabei werden Typ und Code zu einem 16Bit-Wert zusammengesetzt. Der Typ wird durch das höherwertige Byte beschrieben und der Code durch das niedrigere (z.B. Ping bzw. ICMP-Echo-Request: Ziel-Port= 0x0800).
...
|
Dieser Absatz klingt, als ob er was damit zu tun hat. Für mich sind das aber im Moment böhmische Dörfer. Was ist denn hier mit Code gemeint? Und ist der Typ dann der besagte "0" und "8"? Bei der Sache mit höherwertigem Bit und 16Bit Wert muss ich dann abschließend komplett die Segel streichen.
Es ist schon deprimierend, wenn man herausfindet, wie wenig man eigentlich weiß.
Im Moment bin ich schon froh, dass ich mich selbst anziehen kann. |
_________________
Gruß
DSL10Off
Lancom DSL/I-10+ (LCOS 7.80.0081Rel)
Zuletzt bearbeitet von DSL10Off am Do 28 Jul, 2005 18:58, insgesamt einmal bearbeitet |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 18:49 |
|
|
| eddia hat folgendes geschrieben:
|
hmm - das sollte aber nur erforderlich sein, falls im LAN nicht mit NAT gearbeitet wird. Ein Host im Internet wird mir schwerlich ein ICMP-Paket an eine private IP senden können (Portforwarding mal ausgenommen).
|
Normalerweise korrekt, aber sicher ist sicher und auch bei mir kamen schon intruder an 192.168....-Adressen an  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 28 Jul, 2005 18:51 |
|
|
| DSL10Off hat folgendes geschrieben:
|
Jetzt bin ich doch ein bisschen verwirrt. Auf der einen Seite sehe ich ein, das es eine ALLOW_ICMP Regel ist, auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben. Wo liegt den jetzt der Fehler?
|
Auch bei mir gibt es eine ALLOW_PING_OUT-Regel, wie du sie pflegst |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
|
|
|
|
| |
|
|
