 |
|
|
|
| Autor |
Nachricht |
Meshuggah
Anmeldungsdatum: 30.11.2007
Beiträge: 5
|
 Verfasst am:
Do 06 Dez, 2007 13:45 |
  |
|
Hallo,
ich habe hier ein Problem mit der Priorisierung der Firewall-Regeln.
Ich habe einen LanCom 1721 VPN mit LCOS 7.26, Konfiguration erfolgt über WEBConfig (habe hier keinen Windows-Rechner). Der Router ist über zwei Breitbandanschlüsse mit dem Internet verbunden.
Dabei soll der komplette HTTP-Verkehr zum (Beispiel-)Host www.xyz.de über den ersten, der restliche HTTP-Verkehr über den zweiten Anschluß laufen. Dazu habe ich (neben anderen) in der Regel-Liste zwei Regeln angelegt
(Name Prot. Quelle Ziel Aktion verknuepft Prio aktiv VPN stateful Rtg-Tag)
Regel 1:
HTTP_xyz HTTP hosts_intern %Dwww.xyz.de ACCEPT nein 900 ja nein ja 1
Regel 2:
HTTP_rest HTTP hosts_intern ANYHOST ACCEPT nein 100 ja nein ja 2
Das Problem ist, dass der LanCom die Regeln immer falsch sortiert. Ich habe beiden Regeln auch schon eine gleiche Prio verpasst (lt. Handbuch wird dann zuerst die spezielle, danach die allgemeine Regel eingefügt) und testweise Regel 2 höher priorisiert als Regel 1 - aber in allen drei Varianten taucht Regel 2 vor Regel 1 auf. Das Problem hatte ich auch mit der vorher installierten Firmware (7.22).
Die Folge ist natürlich, dass Regel 1 nie greift und auch der Verkehr zu www.xyz.de über den zweiten Anschluß läuft...
Habe ich einen Denkfehler bzw. irgendwo noch eine Einstellung übersehen?
Danke
Meshuggah
/edit: Peinlich! Habe gerade gesehen, dass ich den Thread im falschen Unterforum eröffnet habe. Bitte verschieben  |
Zuletzt bearbeitet von Meshuggah am Do 06 Dez, 2007 14:35, insgesamt einmal bearbeitet |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
TheCloud
Anmeldungsdatum: 22.11.2007
Beiträge: 193
|
| Verfasst am:
Do 06 Dez, 2007 14:19 |
|
|
Hallo Meshuggah,
Du kannst in der Firewall keine DNS-Namen als Quelle oder Ziel angeben. Hier können nur IP-Adressen, MAC-Adressen oder Gegenstellen angeben werden.
Hast Du schon mal versucht, die IP-Adresse von www.xyz.de einzutragen?
Gruß
TC |
|
|
|
|
Meshuggah
Anmeldungsdatum: 30.11.2007
Beiträge: 5
|
| Verfasst am:
Do 06 Dez, 2007 14:33 |
|
|
Das war das Problem, danke für die schnelle Antwort. 
Wenn ich die IP-Adresse(n) angebe, werden die Regeln korrekt sortiert.
Ich bin von meinen Erfahrungen mit IPTables ausgegangen und habe mich gefreut, dass nach %D der Hostname angegeben werden kann. Den entsprechenden Hinweis im Handbuch habe ich dabei natürlich überlesen...
Wenn in der Firewall Regeln mit nicht auflösbaren Hostnamen angegeben werden, kommt keine Fehlermeldung - die entsprechenden Regeln werden einfach nach allen anderen eingefügt. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 06 Dez, 2007 15:12 |
|
|
Hi Meshuggah
| Zitat:
|
|
Wenn in der Firewall Regeln mit nicht auflösbaren Hostnamen angegeben werden, kommt keine Fehlermeldung - die entsprechenden Regeln werden einfach nach allen anderen eingefügt.
|
sie wird nach unten sortiert, weil der Name momentan nicht aufgelöst werden kann. Wenn du im lokalen Netz einen Rechner hättest, der sich www.xyz.de nennt und der sich dem LANCOM bekannt macht (z.B. über NetBIOS, DHCP oder expliziter Registrierung am DNS), wird die Regel korrekt einsortiert, sobald der Name bekannt wird.
Daher ist das letztendlich kein Fehler, denn du willst ja auch Regeln für Rechner erstellen können, die momentan abgeschaltet sind...
Gruß
Backslash |
|
|
|
|
Meshuggah
Anmeldungsdatum: 30.11.2007
Beiträge: 5
|
| Verfasst am:
Do 06 Dez, 2007 15:22 |
|
|
Das habe ich (jetzt) auch verstanden
Ich bin von dem ausgegangen, was ich kannte - bei IPTables kann man den Host mit Namen angeben; die Auflösung erfolgt automatisch.
Als die Regeln "falsch" sortiert wurden, habe ich an den falschen Stellen gesucht/probiert und kam natürlich auf keinen "grünen Zweig".
Wie gesagt: wer lesen kann, ist klar im Vorteil...
Nochmal vielen Dank
Meshuggah |
|
|
|
|
|
|
|
|
| |
|
|
