 |
|
|
|
| Autor |
Nachricht |
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
 Verfasst am:
Mo 17 Jul, 2006 19:59 |
  |
|
Hallo,
Folgender Zustand:
2x ADSL, einmal dynamisch (Default-Route(Routing-Tag 0)), einmal fix (Routing-Tag 1)
Zieht dann eigentlich die DENY_ALL noch, auch wenn diese auf Routing-Tag 0 steht und die Fixe IP ein Routing-Tag 1 hat?
Ich habe momentan 2 DENY_ALL-Regeln, einmal auf Tag 0 und einmal auf Tag 1.
DENY_ALL mit Tag 0 steht momentan noch auf "nur Default-Route".
Wenn ich das rausnehme und diese trotzdem auf Tag 0 steht, wird sie dann generell angewendet, oder nur auf die Tag-0-Route?
Was passiert, wenn die 2. DENY_ALL-Regel (Tag 1) auf "nur Default-Route" steht, wird sie dann auf Tag 1 oder Tag 0 angewendet?
Ich hoffe, das kommt verständlich rüber  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 18 Jul, 2006 13:34 |
|
|
Hi filou,
| Zitat:
|
|
Zieht dann eigentlich die DENY_ALL noch, auch wenn diese auf Routing-Tag 0 steht und die Fixe IP ein Routing-Tag 1 hat?
|
ja, da das Routing-Tag einem Pake ja über die Firewall-regel erst zugewiesen wird. D.h. eas Paket matcht von seinen Adressen her auf Regel xy, daher wird ihm das in der Regel stehende Tag zugewiesen,. worüber dann die Routenauswahl erfolgt.
Also: Die DENY_ALL Regel matcht auf alles, was nicht vorher schon "abgegriffen" wurde.
Alle weiteren Fragen sollten damit beantwortet sein, bis auf diese:
| Zitat:
|
|
Was passiert, wenn die 2. DENY_ALL-Regel (Tag 1) auf "nur Default-Route" steht, wird sie dann auf Tag 1 oder Tag 0 angewendet?
|
Um es kurz zu sagen: Es gibt nur eine Default-Route - und das ist die mit dem Tag 0. Wenn du also der Regel mit dem Tag 1 sagts, daß sie nur auf der Defaultroute gültig sein soll, dann kannst du diese Regel auch gleich weglassen, da sie nie matcht...
Gruß
Backslash |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 18 Jul, 2006 15:17 |
|
|
Hallo Backslash,
D.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind?
Was mich dabei stutzig macht...
Ich habe eine Webcam, die per FTP JPG´s verschickt.
Ich hatte dies probeweise auf aktives FTP gestellt.
Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.
Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP
Wie kommt das zustande?
Denn über die Route mit Tag 1, ist momentan nur Port 25 erlaubt und sonst sind keine Freigaben.
Kann ich mir bis hier her nicht erklären, oder habe ich da einen Denkfehler? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 18 Jul, 2006 18:09 |
|
|
Hi filou
| Zitat:
|
|
D.h. zusammenfassend, ich brauche nur eine Deny_all, ohne "Default-Route"-Angabe, aber mit Routing-Tag 0. Die gilt dann für alle Routen, egal wie sie getagged sind
|
ja
| Zitat:
|
Für die Route(Tag 0) mit der dynamischen IP ist Port 21 ausgehend erlaubt, aber nicht Port 20! Eingehend hat sich die Antwort auf Port 20 aber über die DENY-ALL-Regel der fixen IP(Tag 1) gemeldet.
Eigentlich hätte sich doch die Deny-Regel melden sollen, auf der das Paket auch verschickt wurde, also der dyn. IP
|
Eigentlich hätte gar keine Regel zuschlagen dürfen, da die Firewall FTP erkennen und die entsprechende Session öffnen sollte...
Aber unabhängig davon gilt (wie schon gesagt): Die Regeln schauen NUR auf die IP-Adressen (oder MAC-Adressen, so angegeben). Wenn eine Regel matcht, DANN wird das Paket mit dem in der Regel angegebenen Tag versehen. Das Tag ist also nicht Bestandteil der "Auswahl" (Quelle/Ziel), sondern der Aktion (es wäre vermutlich besser gewesen, das Taggen auch explizit als Aktion zu definieren...)
Gruß
Backslash |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 18 Jul, 2006 18:46 |
|
|
Hallo Backslash,
Die Regel hat auch nur bei Port 20 zugeschlagen, was so richtig ist, denn Port 21 ist ja erlaubt ...aktives FTP (aber Port 20 war zu).
Nun ist mir trotzdem klar, warum die Regel mit Tag 1 zugeschlagen hat....
Da diese, in der Tabelle, noch vor der Regel mit Tag 0 steht und damit als erste zugetroffen hat, wie du schon schriebst.
So, nun bin ich mir auch sicher und lösche die "Hälfte des Doppels" 
Vielen Dank für deine Unterstützung und Gedankenanregung! ...macht die Hitze  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
|
|
|
|
| |
|
|
