Einschränkung für eine Portweiterleitung

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

overcast37
Beiträge: 73
Registriert: 30 Okt 2021, 09:26

Re: Einschränkung für eine Portweiterleitung

Beitrag von overcast37 »

Vielen Dank für die Erklärungen Backslash, es macht wirklich Spaß dir Einstellungen des Systems zu lernen.

Bei der Deny habe ich noch das Ziel spezifiziert mit der gleichen IP wie bei Allow.

Sieht meine Konfiguration sinnvoll aus oder ist da ein offensichtlicher Fehler drin? (Ich glaube die Ziel-Dienste sind etwas doppelt gemoppelt mit TCP und https?)
Ich habe beide Regeln versucht logisch zu erstellen mit dem was ich erreichen möchte, aber man weiß ja nie.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einschränkung für eine Portweiterleitung

Beitrag von backslash »

Hi
Sieht meine Konfiguration sinnvoll aus oder ist da ein offensichtlicher Fehler drin? (
ja (sieht sinnvoll aus) und nein (kein offensichtlucher Fehler)
(Ich glaube die Ziel-Dienste sind etwas doppelt gemoppelt mit TCP und https?)
ja, denn die Objekte HTTP und HTTPs enthalten berits TCP...

ach ja nochwas zum Thema Regelsortierung: Wichtig ist das, was im LANCOM selbst steht.

LANconfig versucht auch die Regeln in seiner Darstellung zu sortieren - vielleicht verhaspelt es sich da etwas, weshalb es die Regeln ggf. in der Reihenfolge umdreht.

Wenn du sicher sein willst, arbeitest du mit Prioritärten und sortierst die Regeln darüber manuell... Dabei muß dann die Accept-Regel oberhalb der Deny-Regel stehen

Gruß
Backslash
overcast37
Beiträge: 73
Registriert: 30 Okt 2021, 09:26

Re: Einschränkung für eine Portweiterleitung

Beitrag von overcast37 »

Vielen Dank.

Die Priorität könnte dann wie folgt aussehen?
WINS 2
Allow 1
Deny 0

Oder Hauptsache >0?
WINS 1
Allow 1
Deny 0

In der Dokumentation ist das leider nicht für explizit beschrieben.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einschränkung für eine Portweiterleitung

Beitrag von backslash »

Die Priorität könnte dann wie folgt aussehen?
WINS 2
Allow 1
Deny 0
eher so
Allow 1
Deny 0
WINS 0

die WINS-Regel ist vollkommen unabhängig von der Allow oder der Deny-Regel.
Aber wie soch vorher gesagt: eigentlich reicht es, alle Regeln auf Prio 0 zu lassen um (im LANCOM) korrekt sortriert zu werden.

ich hab das auch gerade mal ausprobiert - selbst LANconfig sortiert die Regeln korrekt:
rules.PNG
Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einschränkung für eine Portweiterleitung

Beitrag von backslash »

Hi overcast37,

selbst wenn ich in den Quell-Objekt nicht IP-Adress-Ranges (STATIONS im letzten Post) sondern Netze (NETWORKS hier) eingebe, macht LANconfig es korrekt
rules.PNG

Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
overcast37
Beiträge: 73
Registriert: 30 Okt 2021, 09:26

Re: Einschränkung für eine Portweiterleitung

Beitrag von overcast37 »

Vielen Dank, du hast mir sehr geholfen das zu verstehen und umzusetzen.

Noch zum Verständnis:
Ich hatte beim probieren erlebt, dass meine Deny-Regel den Zugriff auf Websites ungebunden hat (Deny/Quelle:All/Ziel: All/http, https).
Ich verstand die Firewall so, dass sie nur eingehenden Traffic blockiert.
Wurde die Seite dann nicht aufgerufen da ich beim öffnen eine Rückmeldung auf meinen Port (oder IP-Route?) 80/443 bekomme und daher in die Firewall lief?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einschränkung für eine Portweiterleitung

Beitrag von backslash »

Hi overcast37
Ich verstand die Firewall so, dass sie nur eingehenden Traffic blockiert.
nein - die Firewall überwacht allen Traffic - alles andere würde würde ja auch keinen Sinn machen...
Wurde die Seite dann nicht aufgerufen da ich beim öffnen eine Rückmeldung auf meinen Port (oder IP-Route?) 80/443 bekomme und daher in die Firewall lief?
sie wurde nicht angezeigt, weil die Deny-Regel den Zugriff auf Port 80/443 für alle Ziel-Adressen ("beliebig") verboten hat -

Wenn du eine Webserver im Internet ansprichst, dann geht die Anfrage an Port 80 bzw. 443.
Ziel "beliebig" enthält halt auch die die Adresse des Webservers im Internet...
Und die Adresse deines PCs im dienem LAN fällt bei der Quelle unter "beliebig"...

Gruß
Backslash
Antworten