Firewall und FQDN

[SteelBurner]

Hallo Forum,

für diese Aufgabenstellung habe ich bisher keine Lösung gefunden:

Mehrere Maschinen im Netz hinter einem 1781A dürfen per Firewall-Regel (MAC-Adresse) nicht ins WAN.

Trotzdem müssen diese Maschinen auf zwei Symantec-Domains (liveupdate.symantec.com und liveupdate.symantecliveupdate.com) via Port 443 zugreifen, um Updates zu bekommen.

Die IPs der Domains sind dynamisch, weil die Server bei Akamai gehostet sind.

Das komplette Subnet von Akamai freigeben ist keine Lösung weil dort auch anderes gehostet wird, was nicht erreicht werden soll.

Wie kann ich in der Firewall des Lancom die FQDNs verwenden?

Grüße,
SteelBurner

[backslash]

Hi SteelBurner,

Wie kann ich in der Firewall des Lancom die FQDNs verwenden?

letztendlich gar nicht... dir bleiben nur zwei Möglichkeiten:

• Versuchen alle IP-Adressen, die zu der Domain gehören aufzulösen und einzeln in der Firewall eintrage
• den DNS-Server des LANCOMs dazu verwenden, daß Anfragen an die Domains immer mit der gleichen IP beantwortet werden - in diesem Fall kannst du den FQDN sogar in der Firewall eintragen (als "lokale" Station)

Bei Verwendung des DNS-Servers des LANCOMs, mußt du natürlich über die Firewall verhindern, daß ein anderer DNS-Server verwendet wird. Das geschieht mit zwei Regeln - einer, die DNS komplett sperrt und einer, die DNS mit dem LANCOM erlaubt:

Code: Alles auswählen

Name:    BLOCK-DNS
Quelle:  alle Stationen
Ziel:    alle Stationen
Dienst:  DNS

Name:    ALLOW-DNS-LANCOM
Quelle:  alle Stationen
Ziel:    IP(s) des LANCOMs im LAN
Dienst:  DNS

Gruß
Backslash

[SteelBurner]

Hallo backslash,

das Auflösen aller IP-Adressen und Eintragen in die Firewall halte ich für aussichtslos.
Das können je nach Tageszeit beliebige aus den Netzen 143.127.0.0/255.255.0.0, 95.101.80.0/255.255.252.0 oder 23.0.0.0/255.240.0.0 sein.

Ich sehe schon, das endet auf einer Content Filter-Lizenz und fertig

Danke trotzdem & Gruß,
SteelBurner