Firewall Regeln "verknüpfen"

Wisi · Beitrag von **Wisi** » 25 Feb 2010, 15:52

Kurze Frage zu den Firewall Regeln, Ausgangslage:

- Firewall konfiguriert mit diversen Allow Regeln und einem Deny All am Ende
- zwei DSL Leitungen mit Load Balance, sowie Routing Tags auf den einzelnen Leitungen
- Regeln für bestimmte Dienste konfiguriert, damit diese über die jeweilige DSL Leitung geschickt werden

Problem dabei:

Ich will global definieren, was über welche Leitung geht, aber trotzdem noch Allow Regeln für einzelne Stationen / Netzwerke definieren.

Einfaches Beispiel mit zwei Netzen:

- Netz 1 ist Verwaltungsnetz und darf nur Elster,POP3,SMTP
- Netz 2 ist ein Schulungsnetz und darf nur HTTP,HTTPS

Die Regeln für dieses Beispiel sind ja einfach. Funktioniert (einfach mal nicht über denn Sinn nachdenken

)

Jetzt soll HTTP, HTTPS und Elster über eine Leitung und POP3, SMTP über die andere.
Man könnte natürlich jetzt zwei Regeln für das Verwaltungsnetz anlegen mit verschiedenen Routing Tags und eine Regel für das Schulungsnetz mit Routing Tag.

Eleganter wäre aber meiner Meinung nach eine Regel für jedes Netz, die die Dienste für das jeweilige Netz erlaubt und danach dann zwei Regeln mit den verknüpften Diensten für die jeweilige DSL Leitung.

Ich hoffe ich habe es gut genug erklärt.

Wie würdet ihr das lösen? Geht das überhaupt so eine Art "Verknüpfung" von Regeln?

In unserem bisherigen Router waren das zwei unterschiedliche Abteilungen zwecks Load Balance und Firewall und somit kein Problem, aber hier komme ich nicht ganz weiter.

backslash · Beitrag von **backslash** » 25 Feb 2010, 20:10

Hi Wisi

diese Verknüpfung ist so nicht möglich, da bei verknüpften Regeln die erste Regel das Routing-Tag vorgibt...

Du könntest aber erstmal global zwei Regeln erstellen die dafür sorgen, daß HTTP, HTTPS und Elster über die eine und POP3 und SMTP über die andere Leitung laufen. An diesen Regeln setzt du das "weitere Regeln beachten" Flag und erstellst danach die Allow-Regeln für die jeweiligen Netze und als letztes noch eine Deny-All-Regel.

Gruß
Backlsash

Wisi · Beitrag von **Wisi** » 25 Feb 2010, 20:15

Hallo,

danke für die Antwort.

So ähnlich habe ich das jetzt auch konfiguriert. Aber es erscheint mir nicht logisch, denn durch das Setzen dieses Routings erlaube ich doch schon den Zugriff (ich muss ja dort schon Stationen konfigurieren)? Oder wie meintest das konkret?

Routings setzen und als Aktion "Deny" und später dann das Allow des jeweiligen Netzes wodurch das Routing befolgt wird?

backslash · Beitrag von **backslash** » 26 Feb 2010, 12:31

Hi Wisi

Die Routing-Tabelle und die Firewallregeln haben erstmal nichts miteinander zu tun. Du erlaubst einen Zugriff nicht dadurch, daß ein Eintrag in der Routing-tabelle existiert - du sagst daduch nur, wohin ein Paket, dessen Zieadresse zu dem Netz im Routingeintrag paßt, gesendet werden soll. Erlauben und Sperren machst du über die Firewall, inbesondere weil du hier neben dem Ziel auch die Quelle angeben und das Ganze auf bestimmte Diesnte beschränken kannst.

Gruß
Backslash

Wisi · Beitrag von **Wisi** » 26 Feb 2010, 14:48

Hallo,

ich glaube da reden wir aneinander vorbei und ich habe bloß eine schlechte Begriffswahl genommen.

In der Routingtabelle erstelle ich ja nur die Zugänge mit entsprechenden Tags, unabhängig vom Ziel.

- Tag 0 -> Loadbalance
- Tag 1 -> DSL1
- Tag 2 -> DSL2

Wenn ich dann allerdings unter den Firewall Regeln die entsprechenden Dienste mit den entsprechenden Tags versehe muss ich ja dort auch ein Quellnetz angeben und erlaube damit aus diesem Quellnetz den Zugriff.

Habe derzeit das weitere Regeln beachten aus, aber vom Prinzip her spielts ja keine Rolle. Sobalds erlaubt ist, isses erlaubt?

Oder würde das Deny all dann greifen?

Zudem noch die Frage: im nächsten Allow ist ja dann der Routing Tag wieder 0, überschreibt dieser nicht die 1 oder 2?

backslash · Beitrag von **backslash** » 26 Feb 2010, 20:58

Hi Wisi

In der Routingtabelle erstelle ich ja nur die Zugänge mit entsprechenden Tags, unabhängig vom Ziel.

- Tag 0 -> Loadbalance
- Tag 1 -> DSL1
- Tag 2 -> DSL2

korrekt...

Wenn ich dann allerdings unter den Firewall Regeln die entsprechenden Dienste mit den entsprechenden Tags versehe muss ich ja dort auch ein Quellnetz angeben und erlaube damit aus diesem Quellnetz den Zugriff.

du kannst das hier problemlos erstmal für *alle* erlauben, wenn du das Hakchen bei "weitere Regeln beachten" setzt, denn:

Oder würde das Deny all dann greifen?

ganau das... Weitere Regeln beachten, heißt daß einfach die nächste Regel gesucht wird, die paßt - und wenn das die Deny-All-Regel ist, dann wird das Paket weggeworfen...

Zudem noch die Frage: im nächsten Allow ist ja dann der Routing Tag wieder 0, überschreibt dieser nicht die 1 oder 2?

nein, denn einerseits überschreibt ein Tag 0 niemals ein bereits vorhandenes Tag und andererseits schrieb ich schon in meinem letzten Posting, daß das Tag nur in der *ersten* Regel, die matcht, festgelegt wird

Gruß
Backslash

Wisi · Beitrag von **Wisi** » 27 Feb 2010, 17:45

alles klar

alle klarheiten beseitigt