 |
|
|
|
| Autor |
Nachricht |
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
 Verfasst am:
Sa 30 Mai, 2009 13:07 |
  |
|
Tach,
so ich nicht ganz falsch liege, arbeitet die Firewall doch derart, daß ein Paket welches auf eine Regel zutrifft als abgearbeitet gilt und nicht weiter gegen andere Regeln geprüft wird, wenn nicht extra dieser Schalter dafür gesetzt ist?
Eigentlich dürfte es dann diesen Trace bei mir so nicht geben:
| Zitat:
|
[Firewall] 2009/05/30 12:54:57,620
Packet matched rule ALLOW-ICMP
DstIP: x.x.x.x, SrcIP: x.x.x.x, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0200, seq: 0x4d00
test next filter (no matching condition)
[Firewall] 2009/05/30 12:54:57,620
Packet matched rule ALLOW-VPN
DstIP: x.x.x.x, SrcIP: x.x.x.x Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0200, seq: 0x4d00
packet accepted
|
Regel ALLOW-ICMP erlaubt Pings von innen nach außen "nur über die Default-Route".
Regel ALLOW-VPN erlaubt sämtlichen Traffic über eine "VPN-Route".
Gepingt wurde hier ein eingewählter VPN Client, also ist der Treffer auf Regel ALLOW-VPN korrekt! Nur woher kommt der Treffer auf ALLOW-ICMP, der ja dann wohl doch als False (test next filter (no matching condition)) erkannt wurde?
Danke
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 02 Jun, 2009 12:27 |
|
|
Hi COMCARGRU
| Zitat:
|
|
Nur woher kommt der Treffer auf ALLOW-ICMP,
|
nun ja, du schriebst doch:
| Zitat:
|
|
Regel ALLOW-ICMP erlaubt Pings von innen nach außen "nur über die Default-Route".
|
d.h.
| Code:
|
Quelle: alle Stationen im lokalen Netz
Ziel: alle Stationen
Dienste: ICMP
Aktion: übertragen, nur auf Defaultroute
|
und
| Zitat:
|
|
Gepingt wurde hier ein eingewählter VPN Client
|
du hast also von einer Station im lokalen Netz den VPN-Client angepingt, der nunmal unter alle Stationen fällt... Daher muß zunächst die ALLOW-ICMP-Regel matchen. Da die Aktion aber auf die Defaultroute eingeschränkt und das Ziel aber nicht auf der Defaultroute zu erreichen ist, darf die Regel nicht angewandt werden und es wird die nächste gesucht die matcht - und das ist dann die ALLOW-VPN, die vermutlich so aussieht:
| Code:
|
Quelle: alle Stationen
Ziel: alle Stationen
Dienste: alle Dienste:
Aktion: übertragen, nur auf VPN-Route
|
Gruß
Backslash |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mi 03 Jun, 2009 08:48 |
|
|
Hi,
Danke! Heist also, daß die Regel in zwei Schritten abgearbeitet wird und nicht in nur einem Schritt... - Dann ist es logisch. Wäre es nur ein Schritt - wovon ich ausgegangen bin - dann hätte es ja kein "match" geben dürfen auf der ICMP Regel...
Danke
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 03 Jun, 2009 14:10 |
|
|
Hi COMCARGRU
Die Regel muß in zwei Schritten abgearbeitet werden, weil du ja über die Regeln auch Routing-Tags zuweisen kannst, über die die zu verwendende Route erst ermittelt wird... Daher gibt es zunächst einen reinen Adress-, Protokoll- und Port-Match und erst danach wird die Route ausgewertet
Gruß
Backslash |
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Mi 03 Jun, 2009 15:37 |
|
|
Hi,
| Zitat:
|
|
weil du ja über die Regeln auch Routing-Tags zuweisen kannst
|
Aha - das war das fehlende Teil des Puzzels! Routing Tags kamen mit welcher Firmware 6.x? Weil vorher gab es das ja dann nicht, weil es keine Routing Tags gab?
Wird Zeit mal wieder eine Adminschlung zu besuchen um die Spielarten der neueren Firmwares kennen zu lernen...
Tausend Dank
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
|
|
|
|
| |
|
|
