ALLOW_PING Regel erstellen

[DSL10Off]

Hallo,

ich möchte zu der "Basic Internet" Deny All Strategie im Referenzhandbuch gerne zusätzlich diese ALLOW_PING Regel erstellen. Die Firewallregeln erstelle ich mittels Setupassistenten.

Nun sind im Handbuch zwar alle Einstellungen für die ALLOW_PING Regel aufgeführt, aber ich weiss nicht, wie ich mittels Setup Assistent den Dienst ICMP einstellen soll. Unter den speziellen Diensten wird ICMP ja nicht aufgeführt.

Es gibt zwar eine Checkbox unter Benutzerdefinierte Protokolle, aber dort sind noch weitere Einstellmöglichkeiten wie "Weitere Ip Protokolle" und "Ports" vorhanden. Mangels Kenntnis weiss ich nicht, was ich da nun einzustellen habe, um einen Ping bzw. ICMP explizit zu erlauben.

Für einen kleinen Tipp wäre ich sehr dankbar.

[filou]

Hallo!

Schau mal hier:
http://www.lancom-forum.de/topic,1090,3 ... S+5.0.html

ICMP=Protokoll 1
Ping=Port 0

[eddia]

Hallo DSL10Off,

Es gibt zwar eine Checkbox unter Benutzerdefinierte Protokolle, aber dort sind noch weitere Einstellmöglichkeiten wie "Weitere Ip Protokolle" und "Ports" vorhanden.

Also bei mir gibt es neben der Checkbox einen Button "Protokolle bearbeiten" und dort kann man explizit ICMP auswählen.

Gruß

Mario

[DSL10Off]

Also bei mir gibt es neben der Checkbox einen Button "Protokolle bearbeiten" und dort kann man explizit ICMP auswählen.

Ich habe ja eigentlich auch von dem Fenster unter "Protokolle bearbeiten" gesprochen. Genau genommen ist das runde Ding neben "Benutzerdefinierte Protokolle" ein Radio Button. Die erwähnte Checkbox findest du nur nach einem Klick auf "Protokolle bearbeiten". Checkboxen sind die quadratische Teile, die bei einem Klick einen Haken erhalten. Trotzdem natürlich dank für deine Mühe.

@filou
Dank auch dir für die Informationen. Ich weiss allerdings nicht, wie ich die jetzt einsetzen soll.

Ich beschreibe mal die Möglichkeiten unter "Protokolle bearbeiten". Der Titel des Fensters ist übrigens "Dienste/Protokolle" falls das wichtig ist.

Oben drei Checkboxen: TCP, UDP, ICMP
darunter ein Eingabefeld: "weitere IP-Protokolle:"
darunter ein Bereich "Ports" mit zwei Eingabefeldern: "Quell-Ports" "Ziel-Ports"

So, was muss ich nun in diese Felder eingeben, um den Ping zu erlauben?
Reicht das Anklicken von ICMP oder muss ich in die anderen Felder auch etwas eintragen?

Muss ich unter "Weitere IP-Protokolle" dann die "1" in das Eingabefeld notieren?

Und wie steht es mit Quell- und Zielports? Ist dann einer davon "0"?
Entschuldige falls ich etwas schwer von Begriff bin.

[LoUiS]

Hi,

Entschuldige falls ich etwas schwer von Begriff bin. Laughing

nein, Du bist nicht schwer von Begriff, Du kennst nur einfach die Protokolle nicht. Drueck mal im LANconfig auf "F1", das gibt bereits eine kleine Hilfe. Um Deine Frage zu beantworten, ICMP anzuklicken reicht um den Ping zu erlauben.


Ciao
LoUiS

[DSL10Off]

Vielen Dank nochmal an alle.

Habe die Einstellung jetzt vorgenommen wie LoUiS gesagt hat. Zumindest wird keine DENY_ALL Firewall Meldung angezeigt. Es sollte also funktionieren.

Wobei es komisch ist, das die Firewallregel per Setup-Assistent den Haken bei ICMP nicht gespeichert hatte, sondern auf einmal wieder der Dienst HTTP markiert war.
Ich musste die Regel nachträglich bearbeiten. Damit der Haken drinbleibt, bzw. die Option "Benutzerdefinierte Protokolle" markiert bleibt. Ich hoffe es ist jetzt alles richtig eingestellt. Nicht das ich mir da ein Scheunentor in die Firewall eingebaut habe.

Sehr ergiebig war die Hilfe über F1 übrigens nicht.

Hat denn eigentlich keiner von euch eine ALLOW_PING Regel konfiguriert? Und wenn doch, hab ihr außer dem Haken bei ICMP noch etwas anderes eingestellt? (wie IP-Protokolle oder irgendwelche Ports)

[filou]

Nicht das ich mir da ein Scheunentor in die Firewall eingebaut habe.

So lange du als Quelle alle lokalen Stationen und Ziele alle eingestellt hast ...kein Problem.
Wenn du als Quelle alle genommen hast, würde ich das auf oben genannte Konfig abändern und deine FW ist in der Hinsicht dicht!

[DSL10Off]

Quelle ist bei mir Alle Stationen im lokalen Netz. Ziele sind bei mir alle Stationen.
Ich denke mal das hast du gemeint.

Dann bin ich ja beruhigt.

[filou]

Ich denke mal das hast du gemeint.

Jo, perfekt

[eddia]

Hallo DSL10Off,

Hat denn eigentlich keiner von euch eine ALLOW_PING Regel konfiguriert?

Du ja auch nicht. Du hast eine ALLOW_ICMP Regel erstellt. Eine ALLOW_PING Regel würde nur die Typen 0 und 8 einbeziehen.

Und wenn doch, hab ihr außer dem Haken bei ICMP noch etwas anderes eingestellt? (wie IP-Protokolle oder irgendwelche Ports)

Nein, da ICMP Pakete nicht blockiert werden sollten. Außer vielleicht ICMP-Redirects, welche aus dem Internet empfangen werden. Bin mir aber nicht sicher, ob das bereits vom IDS abgefangen wird.

Aber falls Du experimentieren willst, hier mal ein Link:

http://www.iana.org/assignments/icmp-parameters

Gruß

Mario

[eddia]

Hallo Jens,

Wenn du als Quelle alle genommen hast, würde ich das auf oben genannte Konfig abändern und deine FW ist in der Hinsicht dicht!

hmm - das sollte aber nur erforderlich sein, falls im LAN nicht mit NAT gearbeitet wird. Ein Host im Internet wird mir schwerlich ein ICMP-Paket an eine private IP senden können (Portforwarding mal ausgenommen).

Gruß

Mario

[eddia]

Hallo LoUiS,

Drueck mal im LANconfig auf "F1", das gibt bereits eine kleine Hilfe.

wobei das "F1"-Beispiel wohl schlecht gewählt ist. Einen Zielport 0x0800 kann ich da jedenfalls nicht eingeben. Das 'x' gefällt dem LanConfig nicht.

Gruß

Mario

[DSL10Off]

Du ja auch nicht. Du hast eine ALLOW_ICMP Regel erstellt. Eine ALLOW_PING Regel würde nur die Typen 0 und 8 einbeziehen.

Jetzt bin ich doch ein bisschen verwirrt. Auf der einen Seite sehe ich ein, das es eine ALLOW_ICMP Regel ist, auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben. Wo liegt den jetzt der Fehler?

Nein, da ICMP Pakete nicht blockiert werden sollten.

Dazu auch noch eine Frage. Wenn ich die "Basic Internet" DENY ALL Strategie so umsetze wie im Handbuch, ohne das ALLOW_PING würde ICMP doch auch komplett blockiert werden, oder nicht? Wenn diese Pakete nicht blockiert werden sollten, warum gibt Lancom dann solch eine Empfehlung nicht an dieser Stelle im Handbuch aus.


Wie müsste den nun eine korrekte ALLOW_PING Regel aussehen? Ich gebe zu, ich kenn mich was die Protokolle, Codes und Typen angeht überhaupt nicht aus. Wo müsste man den die Typen 0 und 8 in der Regel notieren?

In der Kontexthilfe zum Fenster "Protokolle bearbeiten" steht übrigens folgendes:

...
Wird ICMP (1) alleine ausgewählt, so beschreibt der Port das Typ/Code-Paar im ICMP-Paket. Dabei werden Typ und Code zu einem 16Bit-Wert zusammengesetzt. Der Typ wird durch das höherwertige Byte beschrieben und der Code durch das niedrigere (z.B. Ping bzw. ICMP-Echo-Request: Ziel-Port= 0x0800).
...

Dieser Absatz klingt, als ob er was damit zu tun hat. Für mich sind das aber im Moment böhmische Dörfer. Was ist denn hier mit Code gemeint? Und ist der Typ dann der besagte "0" und "8"? Bei der Sache mit höherwertigem Bit und 16Bit Wert muss ich dann abschließend komplett die Segel streichen.

Es ist schon deprimierend, wenn man herausfindet, wie wenig man eigentlich weiß.
Im Moment bin ich schon froh, dass ich mich selbst anziehen kann.

[filou]

hmm - das sollte aber nur erforderlich sein, falls im LAN nicht mit NAT gearbeitet wird. Ein Host im Internet wird mir schwerlich ein ICMP-Paket an eine private IP senden können (Portforwarding mal ausgenommen).

Normalerweise korrekt, aber sicher ist sicher und auch bei mir kamen schon intruder an 192.168....-Adressen an

[filou]

Jetzt bin ich doch ein bisschen verwirrt. Auf der einen Seite sehe ich ein, das es eine ALLOW_ICMP Regel ist, auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben. Wo liegt den jetzt der Fehler?

Auch bei mir gibt es eine ALLOW_PING_OUT-Regel, wie du sie pflegst