Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von rrr »

Ich möchte für ein VLAN den Internetzugriff deaktivieren. Zugriffe auf andere VLANs sollen jedoch mit nachfolgenden weiteren Firewallregeln erlaubt werden.

Setze ich jedoch als Bedingung "für Default-Route" oder alternativ als Station die DSL-Gegenstelle, matched die Regel, obwohl das Ziel nicht im Internet sondern in einem anderen VLAN liegt.

Regel:

Code: Alles auswählen

Name                 Prot.   Source    Destination     Action              Linked     Prio   Firewall-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment        
==================================--------------------------------------------------------------------------------------------------------------------------
33_BLOCK-INTERNET     ANY    %LIOT     ANYHOST         %Lcds0 @i %R %N     No         100    Yes            No         Yes       33         0    
oder:

Code: Alles auswählen

Name                 Prot.   Source    Destination     Action              Linked     Prio   Firewall-Rule  VPN-Rule   Stateful  Src-Tag    Rtg-tag  Comment        
==================================--------------------------------------------------------------------------------------------------------------------------
33_BLOCK-INTERNET     ANY    %LIOT     %HT-VDSL        %Lcds0 %R %N        No         100    Yes            No         Yes       33         0
Trace:

Code: Alles auswählen

[Firewall] 2020/05/08 19:47:50,792  Devicetime: 2020/05/08 19:47:50,821
Packet matched rule 33_BLOCK-INTERNET
DstIP: 192.168.10.13, SrcIP: 192.168.33.83, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0c4a
Wie schaffe ich es, dass er nur auf die Defaultroute/Internet matched?
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von ua »

Hi,

solche Szenarien löse ich immer mit mindestens zwei Regeln:

Quellnetz -> allow -> RFC1918 Netze (Gruppe erstellen)
Quellnetz -> allow -> <was noch gebraucht wird>
Quellnetz -> deny -> any

Viele Grüße aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von rrr »

Wenn ich die Allow-Regeln vor die Block-Regel packe funktioniert es zumindest bei mir.

Aber müsste trotzdem die Block-Regel gar nicht erst matchen wenn die Ziel-Station nicht übereinstimmt? Ist doch dann eher ein Bug.
Und wozu kann ich die Defaultroute als Trigger auswählen, wenn sie nicht ausgewertet wird?
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von ua »

Moin,

das Ziel "default route" nutze ich nie. Mutmaßlich gilt dieses Objekt für alle Destinationen, auch die internen.

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von backslash »

Hi rrr

ist denn die 192.168.10.1 in einem Netz mit Routing/Interface-Tag 33?
Wenn nicht, dann ist die einzige im Tag 33 erreichbare Route die Default_route mit Tag 0 - also das Internet.
Die Regel macht also genau das, was du du konfiguriert hast...
Wenn ich die Allow-Regeln vor die Block-Regel packe funktioniert es zumindest bei mir.
es dürfte sogar reichen, der Allow-Regel die gleiche Prio ztu geben, wie der Block-Regel, da die Allow-Regel ja vermutlich einschränkender Ist, wird sie nach oben sortiert.
Aber ganz nebenbei: wenn man mit Prioritäten in den Regeln arbeitet, dann muß man auch darauf achten, die Prioritäten korrekt zu wählen.

Guß
Backslash
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von rrr »

Hi Backslash,

sämtliche VLANs haben gleichnamige Routing/Interface-Tags.

Somit hat das Netz 192.168.10.0/24 VLAN & Routing-Tag 10 und das Netz 192.168.33.0/24 VLAN & Routing-Tag 33.
Das gesamte Netz 192.168.33.0/24 soll Zugriff auf die IP 192.168.10.13 haben, ansonsten aber keinen Internetzugang.

Da ich in der im ersten Post angegebenen Firewall-Regel als Bedingung "für Default-Route" oder alternativ als Station die DSL-Gegenstelle eintrage, dürfte diese Regel gar nicht matchen.

Somit müsste es auch egal sein ob die Allow-Regel für die 192.168.10.13 IP erst danach kommmt. Das ist aber leider nicht der Fall...
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel matched obwohl das Ziel nicht dem gesetztem Verbindungsziel entspricht

Beitrag von backslash »

Hi rrr,
Da ich in der im ersten Post angegebenen Firewall-Regel als Bedingung "für Default-Route" oder alternativ als Station die DSL-Gegenstelle eintrage, dürfte diese Regel gar nicht matchen.
FALSCH!

Das Zielnetz hat das Tag 10 und das Quell-Netz das Tag 33. Damit ist für Pakete aus dem Netz 192.168.33.x die einzige Route zu 192.168.10.x-Adressen die Default-Route mit Tag 0 und damit matcht die Regel

Aber genau das habe ich dir schon in meinem letzten Posting gesagt.

Gruß
Backslash
Antworten