 |
|
|
|
| Autor |
Nachricht |
Mr.Scrooge
Anmeldungsdatum: 27.03.2008
Beiträge: 5
|
 Verfasst am:
Fr 04 Apr, 2008 11:19 |
  |
|
Hallo,
ich bin neu hier im Forum und auch neu mit dem Umgang mit LANCOM-Geräten (in diesem Fall ein 1721),
deshalb hier mal eine Verständnisfrage zu den Regeln der Firewall.
Ich habe, so wie in der Anleitung der LANCOM-KB, eine Deny-All-Regel erzeugt und danach das Internet, Mails, FTP und DNS als einzelne ALLOW-Regeln hinzugefügt.
Jetzt habe ich mal testweise die ALLOW-INET Regel in der Firewall auf "aus" gesetzt und habe dabei gedacht,
dass hierdurch keine Möglichkeit besteht sich Seiten im Inet anzeigen zu lassen.
Genau so habe ich erwartet, dass die DENY-ALL-Regel greift wenn ich per SFTP also Port 22
auf ein Webhost-Server zugreifen will, dieser ist ja eigentlich nicht erlaubt.
Kann mir irgendjemand erklären, warum das so ist und wie ich Abhilfe schaffen könnte!?
Besten Dank im voraus!
Gruß,
M.S |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Fr 04 Apr, 2008 12:10 |
|
|
Hi Mr.Scrooge
also, wenn du eine Deny-all Regel hast, und keine weitere Allow-Rtegel, dann wird auch alles abgelehnt. Bereits bestehende Session bleiben allerdings weiterhin offen, da sie ja zum Zeitpunkt ihres Aufbaus erlaubt waren.
Gruß
Backslash |
|
|
|
|
Mr.Scrooge
Anmeldungsdatum: 27.03.2008
Beiträge: 5
|
| Verfasst am:
Fr 04 Apr, 2008 13:17 |
|
|
Hmm, das mit der bestehenden Session ist mir denk ich klar.
Komischerweise lässt die FW die Daten durch auch wenn ich eine neue Session starte.
Nochmal zu meiner Konfiguration:
In meiner Regelliste steht außer des WINS Eintrags folgendes
ALLOW-INET - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-FTP - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-DNS - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-MAIL - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
DENY-ALL - Häkchen bei Aktion nur für Default-Route - Quelle: Von alle Stationen - Ziel: An alle Stationen
Wie gesagt, jetzt denke ich eigentlich, dass ich keine Verbindungen mehr über SFTP aufbauen könnte, geht aber trotzdem.
Genau so sollte ja auch die Inet-Verbindung nicht mehr laufen, wenn ich diese Erlaubnis auf "aus" stelle. (habe ich ja schon oben beschrieben)
Was könnte ich den Falsch gemacht haben?
Gruß,
M.S |
Zuletzt bearbeitet von Mr.Scrooge am Fr 04 Apr, 2008 14:36, insgesamt einmal bearbeitet |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Fr 04 Apr, 2008 14:04 |
|
|
Hi Mr.Scrooge
du hast bei der DNY-ALL Regel das Häkchen bei "Aktion nur für Default-Route" gesetzt. Wird denn der Server, auf den du zugreifst, überhaupt über die Defaultroute erreicht - oder gibt es da eine andere Route?
Was passiert, wen du das Häkchen bei der Deny-Regel entfernst?
Wie sieht deine Routing-Tabelle aus?
Gruß
Backslash |
|
|
|
|
Mr.Scrooge
Anmeldungsdatum: 27.03.2008
Beiträge: 5
|
| Verfasst am:
Fr 04 Apr, 2008 14:35 |
|
|
Derzeit so:
192.168.0.0 255.255.0.0 0 0.0.0.0 0 nein ja block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0.0.0.0 0 nein ja block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0.0.0.0 0 nein ja block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 0.0.0.0 0 nein ja block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 0 T-ONLINE 0 Ein ja
Meine Default-Route ist dementsprechend die T-Online Verbindung oder nicht!?
Diese Einstellung habe ich so aus der LC-KnowledgeBase übernommen.
Wenn ich das Häkchen entferne, stelle ich kein Unterschied fest.
Mir ist nur aufgefallen, das ich eine Eintrag in der Filter-Liste über das WebConfig habe, welche wie folgt lautet:
Idx. Prot. Quell-MAC Quell-Adresse Quell-Netz-Maske Q-Von Q-Bis Ziel-MAC Ziel-Adresse Ziel-Netz-Maske Z-Von Z-Bis Aktion verknuepft Prio Rtg-Tag
000e 0 000000000000 192.168.10.0 255.255.255.0 0 0 000000000000 0.0.0.0 0.0.0.0 0 0 limit: accept nein 0 0
Ich weiß nicht was das Prot. 0 bedeutet, aber ist das nicht ein Eintrag der alles aus diesem Netz durchleitet? Oder bin ich hier auf der falschen Fährte?
Wenn ja, wie bekomme ich diesen Eintrag weg? |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Fr 04 Apr, 2008 15:21 |
|
|
Hi Mr.Scrooge
| Zitat:
|
Mir ist nur aufgefallen, das ich eine Eintrag in der Filter-Liste über das WebConfig habe, welche wie folgt lautet:
Idx. Prot. Quell-MAC Quell-Adresse Quell-Netz-Maske Q-Von Q-Bis Ziel-MAC Ziel-Adresse Ziel-Netz-Maske Z-Von Z-Bis Aktion verknuepft Prio Rtg-Tag
000e 0 000000000000 192.168.10.0 255.255.255.0 0 0 000000000000 0.0.0.0 0.0.0.0 0 0 limit: accept nein 0 0
Ich weiß nicht was das Prot. 0 bedeutet, aber ist das nicht ein Eintrag der alles aus diesem Netz durchleitet?
|
Das siehst du richtig, das ist keine Deny-All sondern eine Allow-All Regel, die als Quelle dein lokales Netz hat. Bist du sicher, daß die Dienste bei deinen Allow-Regeln korrekt gesetzt sind?
Poste mal deine Regeln vollständig. Sie sind im Telnet unter /setup/ip-router/firewall/rules zu finden.
Gruß
Backslash |
|
|
|
|
Mr.Scrooge
Anmeldungsdatum: 27.03.2008
Beiträge: 5
|
| Verfasst am:
Mo 07 Apr, 2008 10:31 |
|
|
Hallo backslash,
bin leider am WE nicht an das Gerät rangekommen, deshalb jetzt erst die Regeltabelle.
| Code:
|
----------------------------------------------------------------------------------------------------------------------------------
Name Prot. Source Destination Action Linked Prio Firewall- VPN-Rule Stateful Rtg-tag
----------------------------------------------------------------------------------------------------------------------------------
WINS TCP,UDP %S137-139 ANYHOST ANYHOST %Lcds0 @i%R No 0 Yes No Yes 0
ALLOW-INET TCP LOCALNET %S80,443,591,8008,8080 ANYHOST %Lcds0 %A%N No 0 Yes No Yes 0
ALLOW-MAIL TCP LOCALNET %S25,110,119,143,995 ANYHOST %Lcds0 %A No 0 Yes No Yes 0
ALLOW-FTP TCP LOCALNET %S21 ANYHOST %Lcds0 %A%N No 0 Yes No Yes 0
ALLOW-DNS ANY LOCALNET ANYHOST %Lcds0 %A No 0 Yes No Yes 0
DENY-ALL ANY ANYHOST ANYHOST %Lcds0 @i%R%N No 0 Yes No Yes 0
|
Komischerweise steht aber hier nichts von den o.g. Eintrag den ich im WebConf gefunden habe.
Gruß,
M.S |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 07 Apr, 2008 16:29 |
|
|
Hi Mr.Scrooge
und hier ist auch schon dein Fehler:
| Code:
|
ALLOW-DNS ANY LOCALNET ANYHOST %Lcds0 %A No 0 Yes No Yes 0
|
Diese regel erlazbt alles für alle lokalen Rechner. Stattdessen soll sie doch einfach nur DNS zulassen - zumindest vom Namen her - und müßte daher korrekt wie folgt lauten:
| Code:
|
|
ALLOW-DNS UDP LOCALNET %S53 ANYHOST %Lcds0 %A No 0 Yes No Yes 0
|
Gruß
Backslash |
|
|
|
|
Mr.Scrooge
Anmeldungsdatum: 27.03.2008
Beiträge: 5
|
| Verfasst am:
Di 08 Apr, 2008 08:20 |
|
|
Jo, das war es wirklich.
Ich bin zwar der Meinung ich hätte es richtig eingestellt,
aber wahrscheinlich durch das hin und her wieder umgestellt.
Ich danke dir für deine Hilfe und deiner Geduld.
Gruß,
M.S |
|
|
|
|
|
|
|
|
| |
|
|
