Hi Lancom Gurus
nach lesen von einigen/vielen Beiträgen möchte ich hier an die Experten eine Frage stellen
- Domainnamen werden nicht als Stationsnamen für die Firewall akzeptiert (leider!), kann man das umgehen bzw. durch ein Skript/Programm realisieren?
IP aus dem internen Netzwerk fragt folgende Domainnamen/IP am internen DNS ab z.B. Dropbox.com
Der DNS liefert die IP zurück
Das Skript/Programm trägt die IP in die Firewallregel ein, dies könnte man noch um eine Whitelist von Domainnamen ergänzen
Der Zugriff auf die externe IP über die Firewall funktioniert
Ein zweiter Anwendungsfall wäre die zusätzliche Absicherung des VPN Zugriffs.
Der externe VPN Zugriff wird über eine externe IP abgesichter die man über z.B. über DYNDNS vom VPN Client vorher eingetragen hat.
D.h. der Router antwortet nur auf Anfragen des Stationsnames des externen VPN Clients
Damit ist kein Port mehr offen, bei einfachen Port Scans
Freue mich über Ideen bzw. Rückmeldungen
Grüße
Firewall und Stationsdefinition / Domainnamen
Moderator: Lancom-Systems Moderatoren
Re: Firewall und Stationsdefinition / Domainnamen
Hi sgreg,
Beachte dabei, daß du nur Objekte referenzieren kannst, die bereits existieren - daher muß die Reihenfolge in der die einzelnen Objekte angelegt werden "umgedreht" sein. Ebenso kannst du keine Objekte löschen, die referenziert werden. Daher mußt du die Regel vor dem Ändern der Objekte löschen und danach wieder anlegen
Dein Script müßte z.B. für Google folgendes LCOS-Script erzeugen:
Gruß
Backslash
Sicherlich kannst du dir so ein Script schreiben - beachte dabei nur, daß bei großen Domänen wie Dropbox oder Google eine ganze Menge IP-Adressen zurückkommen und du mehr Platz brauchst, als in eine Zeile der Objekt-Tabelle paßt. In diesem Fall muß dein Script mehrere Objekte erzeugen, die sich jeweils referenzieren.IP aus dem internen Netzwerk fragt folgende Domainnamen/IP am internen DNS ab z.B. Dropbox.com
Der DNS liefert die IP zurück
Das Skript/Programm trägt die IP in die Firewallregel ein, dies könnte man noch um eine Whitelist von Domainnamen ergänzen
Der Zugriff auf die externe IP über die Firewall funktioniert
Beachte dabei, daß du nur Objekte referenzieren kannst, die bereits existieren - daher muß die Reihenfolge in der die einzelnen Objekte angelegt werden "umgedreht" sein. Ebenso kannst du keine Objekte löschen, die referenziert werden. Daher mußt du die Regel vor dem Ändern der Objekte löschen und danach wieder anlegen
Dein Script müßte z.B. für Google folgendes LCOS-Script erzeugen:
Code: Alles auswählen
lang English
flash No
#remove google rule
cd /Setup/IP-Router/Firewall/Rules
del "ALLOW_GOOGLE"
#modify objects
cd /Setup/IP-Router/Firewall/Objects
# remove all google entries
del "GOOGLE"
del "GOOGLE2"
del "GOOGLE3"
del "GOOGLE4"
del "GOOGLE5"
del "GOOGLE6"
del "GOOGLE7"
del "GOOGLE8"
#add new DNS resolutions for google
add "GOOGLE3" "%a173.194.66.103"
add "GOOGLE2" "%a173.194.66.99 %a173.194.66.105 %a173.194.66.106 GOOGLE3"
add "GOOGLE" "%a173.194.66.104 %a173.194.66.104 %a173.194.66.147 GOOGLE2"
#add google rule:
cd /Setup/IP-Router/Firewall/Rules
add "ALLOW_GOOGLE" "TCP" "ANYHOST" "GOOGLE WEB" "ACCEPT"
# done
flash Yes
exit
Es muß schon ein korrekt aufgebautes IKE-Paket geschickt werden, damit das LANCOM kein "port unreachable" zurückschickt. Daher wirst du bei einem UDP-Portscan keine offenen Ports finden...Ein zweiter Anwendungsfall wäre die zusätzliche Absicherung des VPN Zugriffs.
Der externe VPN Zugriff wird über eine externe IP abgesichter die man über z.B. über DYNDNS vom VPN Client vorher eingetragen hat.
D.h. der Router antwortet nur auf Anfragen des Stationsnames des externen VPN Clients
Damit ist kein Port mehr offen, bei einfachen Port Scans
Gruß
Backslash