Hallo,
ich habe einige Fragen zum Erstellen von Firewall-Regeln bei folgender Situation:
Ein LC 1821 soll per DSL (Backup: ISDN) eine Verbindung zum Internet herstellen.
Das LC 1821 ist im Netz der DNS Server und für alle Stationen das Standardgateway.
Ohne Fireawall und/oder wenn ich die DENY_ALL Regel für bestimmte Stationen ausklammere, klappt das alles auch sehr gut. Also sowohl das Intranet als auch das Internet.
Jetzt möchte ich folgende Situation realisieren:
Station A darf WWW, eMail, OnlineBanking und FTP
Station B darf nur eMail
Station C darf nur ein VirusUpdate von bestimmten Server beziehen (xxx,yyy,zzz, diese Adressen liegen als IP Adressen vor)
Ansonsten darf keine Station ins Internet
Realiseren konnte ich das trotz der FAQ's nicht.
Ich habe zunächst eine DENY_ALL Regel für alle erstellt.
Dannach für Station A, B, C die DNS Abfrage erlaubt
Dannach für Station A WWW, eMail und FTP erlaubt
Dannach für Station B eMail erlaubt
Dannach für Station C WWW und FTP für xxx, yyy und zzz erlaubt.
Dennoch habe ich, wenn die DENY_ALL Regel über alle lokalen IP Adressen geht keinen Zugang auf das Internet. Klammere ich die Stationen A, B, C aus der DENY_ALL Regel aus so haben dann diese Stationen vollen Zugriff auf das Internet.
Vermutlich handelt es sich um einen Denkfehler.
Vielleicht kann mir jemand helfen um zunnächst einmal grundsätzlich den Aufbau und die Priorotät meiner Regeln zu festzulegen.
Vielen Dank,
Gruß,
Alex
Firewall Regeln
Moderator: Lancom-Systems Moderatoren
Hi Dr.Wackelzahn
Quelle: Rechner A, B und C
Ziel: LANCOM
Dienst: Quellport beliebig, Zielport 53...
Gruß
Backslash
Achtung: Für DNS ist hier eine kleine Besonderheit zu beachten: Um DNS für die Rechner A, B und C zu erlauben, wenn das LANCOM der DNS-Server ist, dann muß als Ziel in dieser Regel auch die Adresse des LANCOMs stehen:Dannach für Station A, B, C die DNS Abfrage erlaubt
Quelle: Rechner A, B und C
Ziel: LANCOM
Dienst: Quellport beliebig, Zielport 53...
Gruß
Backslash
Hi Backslash,
> Quelle: Rechner A, B und C
> Ziel: LANCOM
> Dienst: Quellport beliebig, Zielport 53...
*grübel* *nachdenk* Also bei mir ist als Verbindungsziel "Diese Regel gilt für Pakete auf [x] Verbindungen an alle Stationen" ausgewählt - das funktioniert auch.
Vielleicht ist das so wie du es vorschlägst sinnvoll, wenn man sicherstellen will, dass ausschließlich der DNS-Server des LANCOMs genutzt werden darf? (Was ja durchaus Sinn machen kann ...)
Viele Grüße,
Jirka
> Quelle: Rechner A, B und C
> Ziel: LANCOM
> Dienst: Quellport beliebig, Zielport 53...
*grübel* *nachdenk* Also bei mir ist als Verbindungsziel "Diese Regel gilt für Pakete auf [x] Verbindungen an alle Stationen" ausgewählt - das funktioniert auch.
Vielleicht ist das so wie du es vorschlägst sinnvoll, wenn man sicherstellen will, dass ausschließlich der DNS-Server des LANCOMs genutzt werden darf? (Was ja durchaus Sinn machen kann ...)
Viele Grüße,
Jirka
Hi Jirka
Das ganze ist zwar unschön, doch damit spart man sich Inbound- und Outbound-Regeln für die Firewall...
Gruß
Backslash
hast recht...*grübel* *nachdenk* Also bei mir ist als Verbindungsziel "Diese Regel gilt für Pakete auf [x] Verbindungen an alle Stationen" ausgewählt - das funktioniert auch.
Genau für dieses Szenario ist es da. Wenn er nun eine Deny-All Regel hat und in der DNS-Regel, den DNS-Server des Providers einträgt, dann können seine Rechner zwar direkt mit dem DNS-Server reden, nicht aber über das LANCOM. Wenn er natürlich "alle Stationen" eingetragen hat, dann ist das LANCOM auch mit dabei...Vielleicht ist das so wie du es vorschlägst sinnvoll, wenn man sicherstellen will, dass ausschließlich der DNS-Server des LANCOMs genutzt werden darf? (Was ja durchaus Sinn machen kann ...)
Das ganze ist zwar unschön, doch damit spart man sich Inbound- und Outbound-Regeln für die Firewall...
Gruß
Backslash