 |
|
|
|
| Autor |
Nachricht |
bauer25
Anmeldungsdatum: 13.06.2005
Beiträge: 6
|
 Verfasst am:
Sa 17 Jun, 2006 22:09 |
  |
|
Hallo ich habe eine Firewall nach der Deny All Methode eingerichtet.
Wie gebe ich den hierbei die Möglichkeit frei, Downloads von Webseiten zu ermöglichen? zb. Softwareupdates von http://www.lancom.de
Vielen Dank,
Christoph |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Aeroschmelz
Anmeldungsdatum: 01.02.2006
Beiträge: 138
|
| Verfasst am:
Mi 21 Jun, 2006 22:16 |
|
|
Zwei ALLOW_Regel mit den jeweiligen freigegebenen Ports und der IP Adresse der Webseite
d.h. eine ALLOW_IN von der IP Webseite an alle lokalen Stationen
eine ALLOW_OUT von allen lokalen Stationen an die IP Webseite. |
_________________
Anbindung: T-DSL 3000 (3000/384)
Router: Lancom 1722 VoIP Annex B mit Firmware 6.2x
VoIP Provider: Portunity
TK-Anlage: Auerswald Business
Telefone: 10 Auerswald COMfort 2000 Plus Systemtelefone |
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3888
Wohnort: Aix la Chapelle
|
| Verfasst am:
Do 22 Jun, 2006 07:00 |
|
|
Hi,
Neben http bitte DNS nicht vergessen, sonst wirds nix mit www.lancom.de. 
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 22 Jun, 2006 19:27 |
|
|
Hallo Aeroschmelz,
| Zitat:
|
d.h. eine ALLOW_IN von der IP Webseite an alle lokalen Stationen
eine ALLOW_OUT von allen lokalen Stationen an die IP Webseite.
|
erstere Regel ist überflüssig.
Gruß
Mario |
|
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Fr 23 Jun, 2006 12:33 |
|
|
Das ist richtig, jedoch nur wenn die SPI-Firewall Funktion genutzt wird, sprich der Haken in der Regel "Diese Regel hält Verbindungszustände nach"gesetzt wurde. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Fr 23 Jun, 2006 15:28 |
|
|
Hi ittk
| Zitat:
|
|
Das ist richtig, jedoch nur wenn die SPI-Firewall Funktion genutzt wird, sprich der Haken in der Regel "Diese Regel hält Verbindungszustände nach"gesetzt wurde
|
Der ist Deafultmäßig gesetzt...
Gruß
Backslash |
|
|
|
|
van Grunz
Anmeldungsdatum: 16.02.2007
Beiträge: 14
|
| Verfasst am:
Fr 16 Feb, 2007 09:42 |
|
|
Hallo!
Ich habe noch eine weiterfühende Frage zu dem Thema, deswegen klinke ich mich hier einfach mal ein^^
Was bewirkt die Option "Diese Regel hält Verbindungszustände nach" genau?
Als ich sie in einer Sperr-Regel gelöscht hatte bei aktivierter Firewall mitsamt SPI, führte dies dazu, daß ein im LAN hängender FTP-Server gesponnen hat. Mal kam man drauf, mal nicht, ab & zu konnte man sich eine Datei herunterladen, mal sah man keine Verzeichnisauflistung...das Handbuch erklärt diese Option leider nur unzureichend.
Auch verwirrt mich, warum man bei SPI nur eine Regel brauchen soll. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Fr 16 Feb, 2007 15:59 |
|
|
Hi van Grunz
| Zitat:
|
|
Was bewirkt die Option "Diese Regel hält Verbindungszustände nach" genau?
|
das was der Name sagt: Verbindungszustände (z.B. beim TCP: SYN -> SYN/ACK -> ACK -> ... -> FIN -> FIN/ACK) werden nachgehalten und bei Fehlern wird die Session geschlossen.
| Zitat:
|
|
Als ich sie in einer Sperr-Regel gelöscht hatte bei aktivierter Firewall mitsamt SPI, führte dies dazu, daß ein im LAN hängender FTP-Server gesponnen hat. Mal kam man drauf, mal nicht, ab & zu konnte man sich eine Datei herunterladen, mal sah man keine Verzeichnisauflistung...das Handbuch erklärt diese Option leider nur unzureichend.
|
Aber bei einer Sperrregel kann ich mir das nicht vorstellen, da diese immer Stateless ist - es wird halt alles geblockt, was matcht..
Bei einer Allow-Regel hingegen schon, da auch die Erkennung des FTPs und das Öffnen der nötigen Ports zum Nachhalten der Verbindungszustände gehört - und wenn das deaktiviert wird, ist alles was passiert reine Glückssache...
Gruß
Backslash |
|
|
|
|
van Grunz
Anmeldungsdatum: 16.02.2007
Beiträge: 14
|
| Verfasst am:
Fr 16 Feb, 2007 23:39 |
|
|
Hallo backslash,
| backslash hat folgendes geschrieben:
|
|
das was der Name sagt: Verbindungszustände (z.B. beim TCP: SYN -> SYN/ACK -> ACK -> ... -> FIN -> FIN/ACK) werden nachgehalten und bei Fehlern wird die Session geschlossen.
|
Ich kann mit dem Begriff "nachhalten" nicht so recht etwas anfangen. Es wäre nett, wenn Du mir das etwas genauer erklären könntest.
| Zitat:
|
|
Aber bei einer Sperrregel kann ich mir das nicht vorstellen, da diese immer Stateless ist - es wird halt alles geblockt, was matcht..
|
Es sind nur Sperr-Regeln in der Firewall vorhanden.
| Zitat:
|
|
Bei einer Allow-Regel hingegen schon, da auch die Erkennung des FTPs und das Öffnen der nötigen Ports zum Nachhalten der Verbindungszustände gehört - und wenn das deaktiviert wird, ist alles was passiert reine Glückssache...
|
Was mich wundert:
Ich hatte eine bestimmte IP und eine bestimmte MAC ausgesperrt. Dennoch war eine völlig andere IP respektive MAC davon betroffen (auf welcher der FTP läuft). Ich kann mir das nur so erklären, daß das Abarbeiten der Regel den aktuellen Verkehr beeinflußt. Aber Du wirst das sicher besser wissen als ich
Gruß,
Michael |
|
|
|
|
van Grunz
Anmeldungsdatum: 16.02.2007
Beiträge: 14
|
| Verfasst am:
Mo 19 Feb, 2007 20:13 |
|
|
Nachtrag:
Folgendes Szenario:
Firewall aktiv, Sperr-Regeln vorhanden, hintendran keine weiteren Regeln, überall steht drin, daß die Verbindungszustände nachgehalten und weitere Regeln beachtet werden sollen
Nun habe ich besagten FTP-Server am Laufen. Kumpel #1 kommt per TLS-Verbindung wie auch unverschlüsselt drauf, Kumpel #2 jedoch nur unverschlüsselt; Den Port hierfür habe ich selbst gewählt, es ist also nicht 20/21/22; auch habe ich nur zwei Control-Ports (Port X & X+1) sowie definierte Datenports weitergeleitet.
Wenn ich nun am Ende der Firewall-Regeln eine weitere erstelle, die primär die Funktion zur Fehlersuche hatte, nämlich sämtliche Pakete explizit weiterzuleiten und den Vorgang an den LANmonitor zu senden, kommt Kumpel #2 plötzlich auch per TLS-Verbindung auf den FTP-Server.
Wieso muß ich also eine Regel erstellen, die normalerweise nicht nötig wäre? Oder habe ich das Konzept der Firewall falsch verstanden?
Ratsuchend grüßt
Michael
PS: Kumpel #2 hat einen LinkSys WRT54GL, falls das von Interesse ist |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Di 20 Feb, 2007 15:37 |
|
|
Hi van Grunz
| Zitat:
|
|
Ich kann mit dem Begriff "nachhalten" nicht so recht etwas anfangen. Es wäre nett, wenn Du mir das etwas genauer erklären könntest.
|
was verstehst du an dem Wort "nachhalten" nicht? Schau mal in den Duden...
| Zitat:
|
|
Firewall aktiv, Sperr-Regeln vorhanden, hintendran keine weiteren Regeln, überall steht drin, daß die Verbindungszustände nachgehalten
|
wie gesagt: bei Sperr-Regeln ist das egal, da sie immer stateless sind - verworfen ist verworfen.
| Zitat:
|
|
und weitere Regeln beachtet werden sollen
|
auch das ist bei einer Sperr-Regel egal, da die Regelbearbeitung mit dem Verwerfen eines Pakets abgebrochen wird...
| Zitat:
|
|
Nun habe ich besagten FTP-Server am Laufen. Kumpel #1 kommt per TLS-Verbindung wie auch unverschlüsselt drauf, Kumpel #2 jedoch nur unverschlüsselt;
|
ehrlich gesagt, würde ich das in das Reich der Mythen und Legenden verweisen - es sei denn Kumpel#1 und Kumpel#2 machen generell etwas anderes (z.B. aktives/passives FTP)...
Aber was sagt denn ein Firewall-Trace, wenn sich Kumpel#2 verschlüsselt auf dem Server verbinden will.
Poste doch mal deine Regeln...
Gruß
Backslash |
|
|
|
|
van Grunz
Anmeldungsdatum: 16.02.2007
Beiträge: 14
|
| Verfasst am:
Di 20 Feb, 2007 17:20 |
|
|
Tach zusammen,
| backslash hat folgendes geschrieben:
|
|
was verstehst du an dem Wort "nachhalten" nicht? Schau mal in den Duden...
|
Und? Was soll mir die Bedeutung sagen? Daß die Verbindungszustände weiterhin anhalten, super (ich gehe ohnehin davon aus, daß die Verbindungen weiterhin anhalten, wenn die Regel nicht greift; wenn sie greift, legt man ja in der Regel fest, was mit dieser Verbindung passiert). Ich kapiere trotzdem noch nicht den Zusammenhang zwischen dieser Option & einer Firewall-Regel, und, noch viel wichtiger: Die Beeinflussung des Datenstroms.
| Zitat:
|
|
wie gesagt: bei Sperr-Regeln ist das egal, da sie immer stateless sind - verworfen ist verworfen.
|
Wenn nun aber keine Sperr-Regel greift, weil nichts darauf paßt? Dann müßten doch, weil keine weiteren Regeln folgen, die Pakete anstandslos passieren? Oder wird ausgewürfelt, was durch darf?
| Zitat:
|
|
auch das ist bei einer Sperr-Regel egal, da die Regelbearbeitung mit dem Verwerfen eines Pakets abgebrochen wird...
|
Siehe oben; es wird aber das betreffende Paket nicht verworfen, sonst hätte ich es mit dem LANmonitor entdeckt.
| Zitat:
|
|
Aber was sagt denn ein Firewall-Trace, wenn sich Kumpel#2 verschlüsselt auf dem Server verbinden will.
|
Wie mache ich denn ein Firewall-Trace? Vielleicht in der Expertenkonfiguration? Ich könnte auch ein normales Trace absetzen, aber das zeigt mir wahrscheinlich kaum an, ob die Ports anstandslos bedient werden.
| Zitat:
|
|
Poste doch mal deine Regeln...
|
| LANCOM 821+ hat folgendes geschrieben:
|
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv Stateful Rtg-Tag Kommentar
WINS TCP,UDP %S137-139 ANYHOST ANYHOST %Lcds0 @i %R ja 20 ja ja 0 block NetBIOS/WINS name resolution via DNS
LOG ANY ANYHOST ANYHOST %Lcds0 %A %N nein 0 ja ja 0
SPERRE_AUSGEHEND ANY %E[MAC-Adresse] ANYHOST %Lgds0 %R %N ja 10 nein ja 0
SPERRE_EINGEHEND ANY ANYHOST %E[MAC-Addresse] %Lcds0 %R %N ja 10 nein ja 0
SPERRE_192.168.0.15_AUSGEHEND ANY %A192.168.0.15 ANYHOST %Lcds0 %R %N ja 9 nein ja 0
SPERRE_192.168.0.15_EINGEHEND ANY ANYHOST %A192.168.0.15 %Lcds0 %R %N ja 9 nein ja 0
IP-SPERRE_REST-LAN_ABGEHEND ANY IP-SPERRE_REST-LAN_ABGEHEND5 ANYHOST %Lcds0 %R %N ja 1 nein ja 0 Ungenutzte IP-Bereiche sperren
IP-SPERRE_REST-LAN_EINGEHEND ANY ANYHOST IP-SPERRE_REST-LAN_EINGEHEND5 %Lcds0 %R %N ja 1 nein ja 0 Ungenutzte IP-Bereiche sperren
|
Wenn's was hilft? ...
Gruß,
Michael |
|
|
|
|
|
|
|
|
| |
|
|
