Hallo zusammen,
wie werden die Filter-Regeln vom Gerät (821) behandelt/ausgewetet?
Beispiel-Regeln:
a) verwerfe; nur bei Default-Route; UDP Quellport xyz
b) verwerfe; nur bei Default-Route; TCP Quellport xyz
c) verwerfe; nur bei Default-Route; UDP+TCP Quellport xyz
Frage 1: sind die Regeln a und b durch die Regel c abgedeckt? (a und b somit überflüssig)
Frage 2: ist die Regel c durch die Regeln a und b abgedeckt? (c somit überflüssig)
Frage 3: deckt keine der Regeln eine andere ab?
Frage 4: oder habe ich da schlicht ein Verständnis-Problem bzgl. der Ports?
Natürlich könnte man einfach alle Regeln existent halten - aber damit steigt dann evtl. der "Regel-Müll" und die Firewall weiss irgendwann nicht mehr, was Sache ist.
Bitte um Antwort.
Auswertung Port-Filter
Moderator: Lancom-Systems Moderatoren
Moin,
die Regeln werden von oben nach unten abgearbeitet (wie Liste in Lanconfig).
Wenn z.B. Regel 1(ganz oben) sagt, verwerfe udp Q Port: 1234, dann wird die Regel auf diesen Port angewendet und keine weitere Regel dazu abgefragt.
Wenn du diesen Port weiter unten nochmals mit aufführst, dann ist das überflüssig.
Deshalb steht die deny_all-Regel meist ganz unten, wenn alle Regeln die gleiche Priorität haben.
Trifft keine (der oberen) Regel zu, dann gilt die unterste Regel (deny(all)).
D.h., wenn du eine deny_all-Strategie fährst, dann brauchst du einzelne Ports nicht extra sperren, sondern nur bei Bedarf freigeben.
Das Ganze kann man dan noch mit Prioritäten verfeinern, wobei eine höhere Prio demzufolge Vorrang hat und auch weiter oben in der Liste steht.
die Regeln werden von oben nach unten abgearbeitet (wie Liste in Lanconfig).
Wenn z.B. Regel 1(ganz oben) sagt, verwerfe udp Q Port: 1234, dann wird die Regel auf diesen Port angewendet und keine weitere Regel dazu abgefragt.
Wenn du diesen Port weiter unten nochmals mit aufführst, dann ist das überflüssig.
Deshalb steht die deny_all-Regel meist ganz unten, wenn alle Regeln die gleiche Priorität haben.
Trifft keine (der oberen) Regel zu, dann gilt die unterste Regel (deny(all)).
D.h., wenn du eine deny_all-Strategie fährst, dann brauchst du einzelne Ports nicht extra sperren, sondern nur bei Bedarf freigeben.
Das Ganze kann man dan noch mit Prioritäten verfeinern, wobei eine höhere Prio demzufolge Vorrang hat und auch weiter oben in der Liste steht.
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Moin Jens,
verstanden, umgesetzt, probiert, funktioniert - Danke.
Mich hat verwirrt, dass mit den Prios nicht die "Prio der Regel" an sich, sondern lediglich die "Prio der Position" in der Liste gemeint ist.
Vielleicht klingt das für Euch komisch aber z.B. ist für mich die DENY_ALL (am Ende der Liste) als Regel von höherer Priorität als irgendeine ALLOW-Regel....eben durch die Sicherheitsbrille betrachtet.
Nochmals vielen Dank,
Rainer
verstanden, umgesetzt, probiert, funktioniert - Danke.
Mich hat verwirrt, dass mit den Prios nicht die "Prio der Regel" an sich, sondern lediglich die "Prio der Position" in der Liste gemeint ist.
Vielleicht klingt das für Euch komisch aber z.B. ist für mich die DENY_ALL (am Ende der Liste) als Regel von höherer Priorität als irgendeine ALLOW-Regel....eben durch die Sicherheitsbrille betrachtet.
Nochmals vielen Dank,
Rainer