Vielen Dank für die Erklärungen Backslash, es macht wirklich Spaß dir Einstellungen des Systems zu lernen.
Bei der Deny habe ich noch das Ziel spezifiziert mit der gleichen IP wie bei Allow.
Sieht meine Konfiguration sinnvoll aus oder ist da ein offensichtlicher Fehler drin? (Ich glaube die Ziel-Dienste sind etwas doppelt gemoppelt mit TCP und https?)
Ich habe beide Regeln versucht logisch zu erstellen mit dem was ich erreichen möchte, aber man weiß ja nie.
Einschränkung für eine Portweiterleitung
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 73
- Registriert: 30 Okt 2021, 09:26
Re: Einschränkung für eine Portweiterleitung
Hi
ach ja nochwas zum Thema Regelsortierung: Wichtig ist das, was im LANCOM selbst steht.
LANconfig versucht auch die Regeln in seiner Darstellung zu sortieren - vielleicht verhaspelt es sich da etwas, weshalb es die Regeln ggf. in der Reihenfolge umdreht.
Wenn du sicher sein willst, arbeitest du mit Prioritärten und sortierst die Regeln darüber manuell... Dabei muß dann die Accept-Regel oberhalb der Deny-Regel stehen
Gruß
Backslash
ja (sieht sinnvoll aus) und nein (kein offensichtlucher Fehler)Sieht meine Konfiguration sinnvoll aus oder ist da ein offensichtlicher Fehler drin? (
ja, denn die Objekte HTTP und HTTPs enthalten berits TCP...(Ich glaube die Ziel-Dienste sind etwas doppelt gemoppelt mit TCP und https?)
ach ja nochwas zum Thema Regelsortierung: Wichtig ist das, was im LANCOM selbst steht.
LANconfig versucht auch die Regeln in seiner Darstellung zu sortieren - vielleicht verhaspelt es sich da etwas, weshalb es die Regeln ggf. in der Reihenfolge umdreht.
Wenn du sicher sein willst, arbeitest du mit Prioritärten und sortierst die Regeln darüber manuell... Dabei muß dann die Accept-Regel oberhalb der Deny-Regel stehen
Gruß
Backslash
-
- Beiträge: 73
- Registriert: 30 Okt 2021, 09:26
Re: Einschränkung für eine Portweiterleitung
Vielen Dank.
Die Priorität könnte dann wie folgt aussehen?
WINS 2
Allow 1
Deny 0
Oder Hauptsache >0?
WINS 1
Allow 1
Deny 0
In der Dokumentation ist das leider nicht für explizit beschrieben.
Die Priorität könnte dann wie folgt aussehen?
WINS 2
Allow 1
Deny 0
Oder Hauptsache >0?
WINS 1
Allow 1
Deny 0
In der Dokumentation ist das leider nicht für explizit beschrieben.
Re: Einschränkung für eine Portweiterleitung
eher soDie Priorität könnte dann wie folgt aussehen?
WINS 2
Allow 1
Deny 0
Allow 1
Deny 0
WINS 0
die WINS-Regel ist vollkommen unabhängig von der Allow oder der Deny-Regel.
Aber wie soch vorher gesagt: eigentlich reicht es, alle Regeln auf Prio 0 zu lassen um (im LANCOM) korrekt sortriert zu werden.
ich hab das auch gerade mal ausprobiert - selbst LANconfig sortiert die Regeln korrekt:
Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Einschränkung für eine Portweiterleitung
Hi overcast37,
selbst wenn ich in den Quell-Objekt nicht IP-Adress-Ranges (STATIONS im letzten Post) sondern Netze (NETWORKS hier) eingebe, macht LANconfig es korrekt
Gruß
Backslash
selbst wenn ich in den Quell-Objekt nicht IP-Adress-Ranges (STATIONS im letzten Post) sondern Netze (NETWORKS hier) eingebe, macht LANconfig es korrekt
Gruß
Backslash
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 73
- Registriert: 30 Okt 2021, 09:26
Re: Einschränkung für eine Portweiterleitung
Vielen Dank, du hast mir sehr geholfen das zu verstehen und umzusetzen.
Noch zum Verständnis:
Ich hatte beim probieren erlebt, dass meine Deny-Regel den Zugriff auf Websites ungebunden hat (Deny/Quelle:All/Ziel: All/http, https).
Ich verstand die Firewall so, dass sie nur eingehenden Traffic blockiert.
Wurde die Seite dann nicht aufgerufen da ich beim öffnen eine Rückmeldung auf meinen Port (oder IP-Route?) 80/443 bekomme und daher in die Firewall lief?
Noch zum Verständnis:
Ich hatte beim probieren erlebt, dass meine Deny-Regel den Zugriff auf Websites ungebunden hat (Deny/Quelle:All/Ziel: All/http, https).
Ich verstand die Firewall so, dass sie nur eingehenden Traffic blockiert.
Wurde die Seite dann nicht aufgerufen da ich beim öffnen eine Rückmeldung auf meinen Port (oder IP-Route?) 80/443 bekomme und daher in die Firewall lief?
Re: Einschränkung für eine Portweiterleitung
Hi overcast37
Wenn du eine Webserver im Internet ansprichst, dann geht die Anfrage an Port 80 bzw. 443.
Ziel "beliebig" enthält halt auch die die Adresse des Webservers im Internet...
Und die Adresse deines PCs im dienem LAN fällt bei der Quelle unter "beliebig"...
Gruß
Backslash
nein - die Firewall überwacht allen Traffic - alles andere würde würde ja auch keinen Sinn machen...Ich verstand die Firewall so, dass sie nur eingehenden Traffic blockiert.
sie wurde nicht angezeigt, weil die Deny-Regel den Zugriff auf Port 80/443 für alle Ziel-Adressen ("beliebig") verboten hat -Wurde die Seite dann nicht aufgerufen da ich beim öffnen eine Rückmeldung auf meinen Port (oder IP-Route?) 80/443 bekomme und daher in die Firewall lief?
Wenn du eine Webserver im Internet ansprichst, dann geht die Anfrage an Port 80 bzw. 443.
Ziel "beliebig" enthält halt auch die die Adresse des Webservers im Internet...
Und die Adresse deines PCs im dienem LAN fällt bei der Quelle unter "beliebig"...
Gruß
Backslash