Hallo,
seit LCOS 8.82 werden hier auf zwei 821+ einige Firewall-Regeln nicht mehr beachtet. Das Problem betrifft Regeln in denen als Quelle Host-Namen angegeben sind. Jedenfalls funktionerten alle Regeln jahrelang bis einschließlich 8.80RU1.
Die Firewall enthält eine Deny-All-Regel. Die meisten übrigen Regeln sind Allow-Regeln in denen als Quelle Host-Namen angegeben sind. Die Host-Namen kennt der Router aus der BOOTP-Tabelle bzw. sind über DHCP gelernt. Wenn ich den DNS-Server des Routers nach einem bestimmten Host frage, bekomme ich auch die korrekte IP-Adresse zurück.
Es scheint so als würden Host-Namen in Firewall-Regeln nicht mehr aufgelöst, so daß eigentlich erlaubte Verbindungsversuche von der Deny-All-Regel aufgefangen und zurückgewiesen werden. Eine Funktionsänderung konnte ich den Release-Notes zu 8.82 jedenfalls nicht entnehmen.
Noch etwas anderes ist mir schon seit LCOS 8.80 aufgefallen. Wenn die dynamisch vom ISP zugewiesene IP-Adresse auf x.y.z.255 endet, dann blockiert die Firewall den internen DNS-Server des Routers. Im Firewall-Log steht dann ein Deny-All-Eintrag mit Quelladresse = eigene WAN-IP des Routers.
Meine Lösung ist bisher Trennung und Neuaufbau der Verbindung, so daß eine andere WAN-IP zugewiesen wird. Das ist aber auch keine Dauerlösung.
Ist etwas zu den beiden Problemen bekannt oder stehe ich hier nur auf dem Schlauch?
Gruß, Looping
Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Moderator: Lancom-Systems Moderatoren
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Hi,
Viele Grüße
Heiko
Ich arbeite bei solchen Regeln immer mit der IP-Adresse um so etwas zu vermeiden. Stellt das doch einfach um, zumal ja schon die Bootp Tabelle für Reservierungen genutzt wird. Ansonsten mache die entsprechenden Traces und einen Support-Call bei Lancom mit dem Ziel es als Bug zu melden, sofern es einer ist.Die Firewall enthält eine Deny-All-Regel. Die meisten übrigen Regeln sind Allow-Regeln in denen als Quelle Host-Namen angegeben sind. Die Host-Namen kennt der Router aus der BOOTP-Tabelle bzw. sind über DHCP gelernt. Wenn ich den DNS-Server des Routers nach einem bestimmten Host frage, bekomme ich auch die korrekte IP-Adresse zurück.
Viele Grüße
Heiko
Man lernt nie aus.
Re: Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Heißt das Du hattest auch schon Problem in der Hinsicht?Bernie137 hat geschrieben:Ich arbeite bei solchen Regeln immer mit der IP-Adresse um so etwas zu vermeiden.
Das Problem zu umgehen sollte nicht Sinn der Sache sein. Namen machen die Firewall-Regeln lesbar, denn morgen weiß ich nicht mehr welcher Rechner welche IP-Adresse hat, die Namen dafür schon. IP-Adresse ändern geht dann auch an zentraler Stelle in der BOOTP-Tabelle und brache dafür nicht alle Firewall-Regeln nach IP-Adressen durchkämmen. Es hat schon seine Berechtigung und sollte auch so bleiben können.Bernie137 hat geschrieben:Stellt das doch einfach um, zumal ja schon die Bootp Tabelle für Reservierungen genutzt wird.
Davon abgesehen möchte ich die Ursache des Fehlverhaltens kennen, man weiß ja nicht wieviel 'Musik' noch dahinter steckt. Ich warte noch ein paar Tage auf evtl. Wortmeldungen, dann mache ich beim Support ein Ticket auf.
Gruß, Looping
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Nein, weil ich das so nicht anwende.Heißt das Du hattest auch schon Problem in der Hinsicht?
Das ist eben eine Sache der Betrachtungsweise. Ein Name ist für mich eben "bloß ein Name", die IP hingegen fix. Wenn die Regeln einmal in der Firewall stehen, dann vergebe ich die IPs nicht wieder neu. Den Namen am Computer hingegen kann auch mal ändern (wollen).Das Problem zu umgehen sollte nicht Sinn der Sache sein. Namen machen die Firewall-Regeln lesbar, denn morgen weiß ich nicht mehr welcher Rechner welche IP-Adresse hat, die Namen dafür schon.
Code: Alles auswählen
Ich warte noch ein paar Tage auf evtl. Wortmeldungen, dann mache ich beim Support ein Ticket auf.Viele Grüße
Heiko
Man lernt nie aus.
Re: Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Hi Looping,
das Problem wird in der nächsten Version (ab 8.82.0116) behoben sein...
Gruß
Backslash
das Problem wird in der nächsten Version (ab 8.82.0116) behoben sein...
Gruß
Backslash
Re: Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Hallo backslash,
danke, das lese ich gern.
Gilt das auch für das zweite Problem? D. h. ich konnte nicht testen, ob es schon mit 8.82Rel oder RU1 behoben ist; es tritt zu selten auf. Aber wenn es auftritt, ist es ärgerlich, weil ein manueller Eingriff nötig ist.
Gruß, Looping
danke, das lese ich gern.
Gilt das auch für das zweite Problem? D. h. ich konnte nicht testen, ob es schon mit 8.82Rel oder RU1 behoben ist; es tritt zu selten auf. Aber wenn es auftritt, ist es ärgerlich, weil ein manueller Eingriff nötig ist.
Gruß, Looping
Re: Firewall-Regeln mit Host-Namen seit LCOS 8.82 unwirksam
Hi Looping
in der 8.80 gab es aufgrund des für IPv6 überarbeiteten DNS-Servers eine Menge Probleme mit dem DNS-Server. Die sollten mittlerweile aber auch beseitigt sein.
Gruß
Backslash
in der 8.80 gab es aufgrund des für IPv6 überarbeiteten DNS-Servers eine Menge Probleme mit dem DNS-Server. Die sollten mittlerweile aber auch beseitigt sein.
Gruß
Backslash