BPjM-Modul: Module-operating INFO: No - Warum?

[Jirka]

Ich habe eben noch mal eine DENY-DNS-OVER-TLS-Regel für das lokale Netzwerk ergänzt.

Hier muss es bei Aktion natürlich ACCEPT heißen, kleiner Copy & Waste-Fehler:

Code: Alles auswählen

Name:     ALLOW-DNS-LANCOM
Aktion:   ACCEPT
Dienste:  DNS
Quelle:   alle Stationen
ziel:     IP des LANCOMs (oder alle Stationen im lokalen Netz)

"oder alle Stationen im lokalen Netz" - die IP des LANCOMs ist aber irgendwie schöner, aber man muss tatsächlich erst schauen, welche das eigentlich ist. Mit "alle Stationen im lokalen Netz" ist doch aber nicht "LOCALNET" gemeint (Alle Stationen in allen lokalen Netzen), sondern nur alle Stationen im lokalen Netzwerk XYZ. Denn in der offiziellen Anleitung steht im Punkt 2.3.5 tatsächlich LOCALNET, was meiner Meinung nach nicht ganz sauber ist, denn in einem anderen lokalen Netzwerk könnte ein DNS-Server stehen (auf den der Zugriff erlaubt ist), der dann am LANCOM vorbei die DNS-Auflösung macht. Alles sehr unwahrscheinlich/unrealistisch, aber nicht unmöglich. Nur wenn alle lokalen Netzwerke dem BPjM-Filter (bzw. allgemein DNS-Filter) unterliegen (und damit auch die DNS-Firewall-Regeln dafür eingestellt sind), kann man natürlich auch LOCALNET nehmen, weil der DNS-Server in einem anderen lokalen Netzwerk dann ja auch über den LANCOM muss um selber Namen aufzulösen.

[backslash]

Hi Jirka,

Hier muss es bei Aktion natürlich ACCEPT heißen, kleiner Copy & Waste-Fehler:

ja, natürlich

Mit "alle Stationen im lokalen Netz" ist doch aber nicht "LOCALNET" gemeint

der Einfachheit halber ja... Du kannst es selbst aber beliebig feiner regeln und mußt es ggf. auch - das ist aber vom lokalen Netzaufbau abhängig.
Und wer ein so kompliziertes Netz administriert, wird auch in der Lage sein, die Regel passend abzuwandeln (oder sollte sich einen neuen Job suchen).

Gruß
Backslash