 |
|
|
|
| Autor |
Nachricht |
FIS
Anmeldungsdatum: 12.11.2007
Beiträge: 2
|
 Verfasst am:
Mo 12 Nov, 2007 17:42 |
  |
|
Ich habe folgendes Problem:
User melden sich aus unsicheren privaten Netzen per VPN am Firmen-Netzwerk an.
Es sollen alle Ports bis auf 3389 (RDP für TerminalServer), 80 (http) und 443 (https) für die VPN-User geblockt werden.
Ich hatte also überlegt eine Deny-All Regel für die VPN-Gegenstellen einzurichten und dann eine weitere Regel in der ich TCP+UDP auf 80, 443 und 3389 für die VPN-Gegenstellen frei gebe.
Jedoch bekomme ich diese "Auflockerung" der Deny-All Regel nicht ans laufen. Dachte schon es läge an der Priorisierung der Freigabe-Regel, aber selbst die Änderung brachte keinen Erfolg.
Was mache ich verkehrt? |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 12 Nov, 2007 19:24 |
|
|
Hi FIS
| Zitat:
|
|
Ich hatte also überlegt eine Deny-All Regel für die VPN-Gegenstellen einzurichten und dann eine weitere Regel in der ich TCP+UDP auf 80, 443 und 3389 für die VPN-Gegenstellen frei gebe.
|
das ist so auch korrekt.
| Zitat:
|
|
Jedoch bekomme ich diese "Auflockerung" der Deny-All Regel nicht ans laufen.
|
hast du auch Quelle und Ziel richtig konfiguriert:
| Code:
|
Quelle: VPN-Gegenstelle
Ziel: IP-Adressen, der Server die erreicht werden dürfen (oder: alle Stationen im lokalen Netz)
Dienste: Protokolle UDP + TCP
Zielports 80, 443, 3389
Aktion: übertragen
|
Gruß
Backslash |
|
|
|
|
FIS
Anmeldungsdatum: 12.11.2007
Beiträge: 2
|
| Verfasst am:
Di 13 Nov, 2007 11:45 |
|
|
Danke backslash...
Ich hatte schon an meinem Verstand gezweifelt.
Hab inzwischen herausbekommen warum es nicht lief. Ich hatte bei meinen Allow-Regeln das Häkchen "weitere Regeln beachten" nicht deaktiviert...
Da muss man ja erstmal drauf kommen das das Ding da nicht sein darf wenn man sonst nur mit größeren Firewalls Marke Watchguard oder Cisco arbeitet ;) |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 13 Nov, 2007 15:21 |
|
|
Hi FIS
| Zitat:
|
|
Ich hatte bei meinen Allow-Regeln das Häkchen "weitere Regeln beachten" nicht deaktiviert...
|
nun ja, du mußt es aktiv aktiviert haben...
Die Firewall geht "von oben nach unten" durch die Regeln. Wenn nun eine Allow-Regel matcht und das Häkchen gesetzt ist, dann werden die Regeln nach der nächsten matchenden Regel durchsucht und die dort aufgelisteten Aktionen ebenfalls ausgeführt. Wenn in dieser Regel dann als Aktion "zurückweisen" oder "verwerfen" steht, dann wird genau das ausgeführt, da diese Aktionen "stärker" sind als "übertragen"...
Wenn das Paket dann einmal verworfen ist, dann ist es auch egal, ob an der verwerfenden Regel das Häkchen gesetzt ist - verworfen ist verworfen...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
