Ich habe folgendes Problem:
User melden sich aus unsicheren privaten Netzen per VPN am Firmen-Netzwerk an.
Es sollen alle Ports bis auf 3389 (RDP für TerminalServer), 80 (http) und 443 (https) für die VPN-User geblockt werden.
Ich hatte also überlegt eine Deny-All Regel für die VPN-Gegenstellen einzurichten und dann eine weitere Regel in der ich TCP+UDP auf 80, 443 und 3389 für die VPN-Gegenstellen frei gebe.
Jedoch bekomme ich diese "Auflockerung" der Deny-All Regel nicht ans laufen. Dachte schon es läge an der Priorisierung der Freigabe-Regel, aber selbst die Änderung brachte keinen Erfolg.
Was mache ich verkehrt?
Deny All, aber einzelne Dienste freigeben?
Moderator: Lancom-Systems Moderatoren
Hi FIS
Gruß
Backslash
das ist so auch korrekt.Ich hatte also überlegt eine Deny-All Regel für die VPN-Gegenstellen einzurichten und dann eine weitere Regel in der ich TCP+UDP auf 80, 443 und 3389 für die VPN-Gegenstellen frei gebe.
hast du auch Quelle und Ziel richtig konfiguriert:Jedoch bekomme ich diese "Auflockerung" der Deny-All Regel nicht ans laufen.
Code: Alles auswählen
Quelle: VPN-Gegenstelle
Ziel: IP-Adressen, der Server die erreicht werden dürfen (oder: alle Stationen im lokalen Netz)
Dienste: Protokolle UDP + TCP
Zielports 80, 443, 3389
Aktion: übertragenBackslash
Danke backslash...
Ich hatte schon an meinem Verstand gezweifelt.
Hab inzwischen herausbekommen warum es nicht lief. Ich hatte bei meinen Allow-Regeln das Häkchen "weitere Regeln beachten" nicht deaktiviert...
Da muss man ja erstmal drauf kommen das das Ding da nicht sein darf wenn man sonst nur mit größeren Firewalls Marke Watchguard oder Cisco arbeitet ;)
Ich hatte schon an meinem Verstand gezweifelt.
Hab inzwischen herausbekommen warum es nicht lief. Ich hatte bei meinen Allow-Regeln das Häkchen "weitere Regeln beachten" nicht deaktiviert...
Da muss man ja erstmal drauf kommen das das Ding da nicht sein darf wenn man sonst nur mit größeren Firewalls Marke Watchguard oder Cisco arbeitet ;)
Hi FIS
Die Firewall geht "von oben nach unten" durch die Regeln. Wenn nun eine Allow-Regel matcht und das Häkchen gesetzt ist, dann werden die Regeln nach der nächsten matchenden Regel durchsucht und die dort aufgelisteten Aktionen ebenfalls ausgeführt. Wenn in dieser Regel dann als Aktion "zurückweisen" oder "verwerfen" steht, dann wird genau das ausgeführt, da diese Aktionen "stärker" sind als "übertragen"...
Wenn das Paket dann einmal verworfen ist, dann ist es auch egal, ob an der verwerfenden Regel das Häkchen gesetzt ist - verworfen ist verworfen...
Gruß
Backslash
nun ja, du mußt es aktiv aktiviert haben...Ich hatte bei meinen Allow-Regeln das Häkchen "weitere Regeln beachten" nicht deaktiviert...
Die Firewall geht "von oben nach unten" durch die Regeln. Wenn nun eine Allow-Regel matcht und das Häkchen gesetzt ist, dann werden die Regeln nach der nächsten matchenden Regel durchsucht und die dort aufgelisteten Aktionen ebenfalls ausgeführt. Wenn in dieser Regel dann als Aktion "zurückweisen" oder "verwerfen" steht, dann wird genau das ausgeführt, da diese Aktionen "stärker" sind als "übertragen"...
Wenn das Paket dann einmal verworfen ist, dann ist es auch egal, ob an der verwerfenden Regel das Häkchen gesetzt ist - verworfen ist verworfen...
Gruß
Backslash