Firewall Regel für öffentliche IP in DMZ

[mongostyles]

Hallo,

wir haben eine DMZ in der mehreren öffentlichen IPs den einzelnen nSystemen zugewiesen sind.
Kann man hier definieren, das für eine Adresse aus dem Pool, oder für alle bis auf eine der öffentlichen IPs, entsprechend ein definierter Port blockiert oder freigegeben wird?
Geht das überhaupt?

Beste Grüsse

[backslash]

Hi mongostyles

ja, natürlich geht das...

Der Firewall ist es schließlich egal, was für IP-Adressen sie filtern soll. Du mußt nur die Regeln passend erstellen: Um nur einen Port freizugeben brauchst du eine entsprechende Allow-Regel sowie eine Deny-All-Regel um alle anderen Ports zu sperren...

Gruß
Backslash

[mongostyles]

hallo backslash, wie immer eine freude von dir zu lesen!

okay dann war ich nicht so falsch! ich habe also eine deny-all für einen definierten port erstellt!
dann eine allow für diesen port von allen stationen an eine ip-adresse 1.2.3.4 aus meinem öffentlichen ip-pool.
doch da mach ich irgendwo einen denkfehler, den das führt dazu, das nichtsmehr geht auf dem port.
muss ich die dmz/wan IP etwa als quelle anstatt als ziel angeben?

grüße

[backslash]

Hi mongostyles

muss ich die dmz/wan IP etwa als quelle anstatt als ziel angeben?

das kommt darauf an, wie die jeweilige Session aufgebaut wird...

Ist es ein Server, zu dem von aussen Verbindung aufgenommen werden soll, dann ist die Quelle "alle Stationen" und das Ziel die IP des Servers.
Ist es ein "normaler" PC in der DMZ der Kontakt zu einem Server im Internet sucht, dann ist die Quelle die IP des PCs und das Ziel "alle Stationen"

Und bei den Ports mußt du auch immer bedenken, daß sie i.A. immer zum Ziel gehören - das ist auch der Grund, weshalb es einem in der IPv6-Firewall so richtig schwer gemacht wird, Regeln für Quell-Ports zu definieren...

Gruß
Backslash

[mongostyles]

super, danke!
es ist ein server in der DMZ dem die öffentliche ip fest vergeben ist, also muss ich wie angedeutet den port generell von außen verbieten, an alle internen stationen, und einmal erlauben, von allen stationen an die ip die der server letztlich hat. Super,
und IPv6 ist echt was Firewall Regeln anbelangt grausig

Grüße

[mongostyles]

Hallo,

konnte es heute früh testen, folgende Konfig in der FW, WAN Interface ist mit 1 getaggt, und dies ist entsprechend auch in den Regeln hinterlegt.
Effekt war, dass die Clients zwar Mails intern an den Server zustellen konntne, dieser diese aber nicht nach außen abschicken konnte.
http://www.directupload.net/file/d/3582/zi3ei8j3.png
1.2.3.4 ist die öffentliche IP des Mail Servers, welche auch von außen entsprechend erreichbar ist.

[backslash]

Hi mongostyles

und da hast du genau den Port-Fehler gemacht... Der Port gehört zum Ziel!

Zum Empfang von Mails aus dem Internet:

Code: Alles auswählen

Quelle:   alle Stationen
Ziel:     1.2.3.4
Dientse:  TCP, Zielport 25

zum weiterleiten von Mails ducrh den Servert ins Internet:

Code: Alles auswählen

Quelle:   1.2.3.4
Ziel:     alle Stationen
Dientse:  TCP, Zielport 25

Beachte, daß beide Male der Port im Ziel ist!

und IPv6 ist echt was Firewall Regeln anbelangt grausig

da gehen die Meinungen auseinander - vor allem weil man bei IPv6 nicht mehr mit kryptischen Strings (%a191.168.1.1, %s25 %p6) hantieren muß.
Sie mag in LANconfig nicht so schön aufbereitet sein, wie die IPv4-Firewall, ist aber von der Bedienung her eigentlich leichter verständlich, weil du "Top-Down" bei der Regelliste anfangen kannst und die benötigten Objekte einfach aus den entsprechenden Tabellen auswählst oder sie in dem Moment, in dem sie benötigt werden, in den Tabellen anlegst (Stichwort: "Quelle verwalten")....

Gruß
Backlsash