 |
|
|
|
| Autor |
Nachricht |
Carli
Anmeldungsdatum: 26.02.2005
Beiträge: 33
|
 Verfasst am:
Do 15 Jul, 2010 16:56 |
  |
|
Hallo zusammen,
ich habe 2 DSL-Leitungen und verteile darüber schon seit längerem bestimmte ausgehende Dienste per Routing Tag (z.B. HTTP Leitung 1, IMAP Leitung 2 etc.). Heute wollte ich mal nicht nur die ausgehenden Verbindungen auf die einzelnen Leitungen verteilen, sondern auch die eingehenden Verbindungen nur für je eine Leitung erlauben und die andere blocken - was mir nicht gelungen ist.
Im Moment sind alle freigegebenen Ports/Dienste über beide DSL-Leitungen von außen erreichbar. Wenn ich nun Port 80 eingehend für eine der beiden Leitungen (z.B. Routing Tag 1) sperren möchte, sperre ich sie ungewollt für beide. Scheinbar wird das Routing Tag bei eingehenden Verbindungen nicht berücksichtigt.
Gibt es einen Workaround für das was ich vorhabe?
Danke und Gruß
C.
EDIT: Sorry, hätte wohl eher in die Rubrik Firewall gehört, kann gern umgehangen werden. |
_________________
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000 |
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Do 15 Jul, 2010 17:37 |
|
|
Hi Carli
| Zitat:
|
Wenn ich nun Port 80 eingehend für eine der beiden Leitungen (z.B. Routing Tag 1) sperren möchte, sperre ich sie ungewollt für beide. Scheinbar wird das Routing Tag bei eingehenden Verbindungen nicht berücksichtigt.
|
Du kannst über die WAN-Tag-Tabelle jeder Gegenstelle ein Tag zuweisen, das für einkommende Pakete genommen wird. Das verhält sich dann genau so, wie ein Interface-Tag an einem ARF-Netz.
Das ist aber letztendlich gar nicht das, was du hier willst... Du willst einfach nur den Traffic blocken, wenn er über die falsche Leitung hereinkommt. Es gibt zwei Möglichkeiten dein Problem zu lösen.
1. Wenn die Leitungen maskiert sind und du eh ein Portforwarding eingerichtet hast, dann kannst du bei jedem Portforwarding sagen, für welche Gegenstelle es gelten soll:
| Code:
|
Anfangs-Port: 80
End-Port: 80
Gegenstelle: Leitung-1
Intranet-Adresse: IP des Webservers
Map-Port: 0
Protokoll: TCP
WAN-Adresse: 0.0.0.0
|
Kommt das Paket nun über die andere Leitung herein, wird es von der Maskierung abgelehnt...
2. Du regelst das über die Firewall. Wenn du eine DENY-All-Route hast, dann mußt du den einkommenden Traffic eh explizit freischalten. Wenn du dabei nun als Quelle nicht "Alle Stationen", sondern die jeweilige Gegenstelle einträgst, dann hast du auch den gewünschten Effekt:
| Code:
|
Aktion: übertragen
Quelle: Gegenstelle Leitung-1
Ziel: IP des Webservers
Dienste: TCP, Zielport 80
|
Kommt hier das Paket nun über die andere Leitung herein, dann matcht es nicht auf die Bedingung "Gegenstelle Leitung-1" und die Firewall sucht die nächste Regel, die matchen könnte - und das ist dann die DENY-ALL-Regel, die das Paket verwirft.
Du kannst natürlich auch beides kombinieren...
Gruß
Backslash |
|
|
|
|
Carli
Anmeldungsdatum: 26.02.2005
Beiträge: 33
|
| Verfasst am:
Do 15 Jul, 2010 19:40 |
|
|
Hi Backslash,
Lösung 1 ist genial wie einfach. Perfekte Lösung für mich.
Vielen Dank
C. |
_________________
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000 |
|
|
|
|
|
|
|
| |
|
|
