Hallo,
ich hab folgende Situation:
Ein 1711VPN verwaltet mit ARF-Routing zwei getrennte Netze (Netz A mit Routing-Tag 1 und Netz B mit Routing-Tag 2) und für jedes Netz einen zugehörigen Internet-Zugang. Über eine Firewall-Regel wird Netz A der Zugriff auf Netz B erlaubt, aber nicht umgekehrt. Soweit funktioniert alles einwandfrei (inkl. VPN).
Nun war die Firewall-Konfiguration an der Reihe. Dazu haben wir von der Lancom-Seite die Skripte (Deny-All und die zugehörigen Allow...) runtergeladen und in den Router gespielt. Nachdem wir das Deny-All-Skript eingespielt hatten, war wie gewünscht alles dicht. Anschließend haben wir das Allow HTTP(S)-Skript eingespielt, und schon war Internet wieder möglich. Auch mit den meisten anderen Skripts klappte alles, aber sobald wir das Allow-ICMP-Skript einspielen, wird komischerweise das o.g. Netzwerkrouting von Netz A auf Netz B außer Kraft gesetzt, d.h. der Zugriff von Netz A auf Netz B klappt nicht mehr (kein Ping, kein RDP,...), obwohl die Regel weiterhin aktiv ist. Was läuft hier falsch??
Eine weitere Frage hätte ich auch noch: Ist es möglich, für beide Netze getrennte Firewall-Regeln zu erstellen (Deny-All für Netz A und dann die in Netz A benötigten Ports freigeben, anschließend dasselbe für Netz B)? In den FW-Regeln steht aktuell Routing-Tag 0. Hab hier testweise mal eine alte Konfig ohne FW-Regeln eingespielt, dann das Deny-All-Skript eingespielt und hier mal das Routing-Tag auf 1 gesetzt. Trotzdem was von beiden Netzen aus kein Internet-Zugriff mehr möglich. Hat jemand einen Tipp für mich ob, und wenn ja wie es geht?
Danke schon mal im Voraus!
Grüße
waldmeister24
Frage zu Firewallregeln...
Moderator: Lancom-Systems Moderatoren
Hi waldmeister24
Die Regeln matchen nur auf IP-Adressen, Protokolle und Ports, d.h. das Routing-Tag ist keine Bedingung sondern eine Aktion! D.h. wenn die Regel matcht, dann wird dem Paket das in der Regel angegebene Routing-Tag zugewiesen. Wenn du getrennte Regeln für die Netze konfigurieren willst, dann kannst du das also nur darüber erreichen, daß du als Quelle und/oder Ziel "lokales Netz <Netzname>" angibst.
Gruß
Backslash
Die Frage ist hier, an welcher Stelle die Ping-Regel steht. Die Regeln werden von "oben nach unten" abgearbeitet und der erste "Treffer" gilt... Wenn nun also die Ping-Regel vor der Regel steht, die den Traffic zwischen den Netzen erlaubt, dann kannst du nicht mehr in das Netz B pingen, weil die Ping-Regel ja das Routing-Tag nicht umsetzt. Die Reihenfolge der Regeln kannst du über die Priorität erzwingen.Auch mit den meisten anderen Skripts klappte alles, aber sobald wir das Allow-ICMP-Skript einspielen, wird komischerweise das o.g. Netzwerkrouting von Netz A auf Netz B außer Kraft gesetzt, d.h. der Zugriff von Netz A auf Netz B klappt nicht mehr (kein Ping, kein RDP,...), obwohl die Regel weiterhin aktiv ist. Was läuft hier falsch??
Eine weitere Frage hätte ich auch noch: Ist es möglich, für beide Netze getrennte Firewall-Regeln zu erstellen (Deny-All für Netz A und dann die in Netz A benötigten Ports freigeben, anschließend dasselbe für Netz B)? In den FW-Regeln steht aktuell Routing-Tag 0. Hab hier testweise mal eine alte Konfig ohne FW-Regeln eingespielt, dann das Deny-All-Skript eingespielt und hier mal das Routing-Tag auf 1 gesetzt. Trotzdem was von beiden Netzen aus kein Internet-Zugriff mehr möglich. Hat jemand einen Tipp für mich ob, und wenn ja wie es geht?
Die Regeln matchen nur auf IP-Adressen, Protokolle und Ports, d.h. das Routing-Tag ist keine Bedingung sondern eine Aktion! D.h. wenn die Regel matcht, dann wird dem Paket das in der Regel angegebene Routing-Tag zugewiesen. Wenn du getrennte Regeln für die Netze konfigurieren willst, dann kannst du das also nur darüber erreichen, daß du als Quelle und/oder Ziel "lokales Netz <Netzname>" angibst.
Gruß
Backslash
-
waldmeister24
- Beiträge: 241
- Registriert: 18 Mär 2005, 23:21
Hallo backslash,
vielen Dank für deine Antwort. Ich hab aber noch ein paar Fragen zum Verständnis:
Ich hab nun die ICMP-Regel nach ganz oben gesetzt und schon klappt der Zugriff wieder. Nun aber eine generelle Frage zu der Reihenfolge der FW-Regeln: Gibt es da irgendwo eine Empfehlung der Reihenfolge? Wenn ich das richtig verstanden habe, muß die Deny_ALL-Regel ganz nach unten.
Das mit den getrennten FW-Regeln für die beiden Netze ist mir nun auch klar. Als ich meine Frage abgeschickt hatte und nochmal drüber nachgedacht habe, wurde es mir klar
Grüße
waldmeister24
vielen Dank für deine Antwort. Ich hab aber noch ein paar Fragen zum Verständnis:
Ich hab nun die ICMP-Regel nach ganz oben gesetzt und schon klappt der Zugriff wieder. Nun aber eine generelle Frage zu der Reihenfolge der FW-Regeln: Gibt es da irgendwo eine Empfehlung der Reihenfolge? Wenn ich das richtig verstanden habe, muß die Deny_ALL-Regel ganz nach unten.
Das mit den getrennten FW-Regeln für die beiden Netze ist mir nun auch klar. Als ich meine Frage abgeschickt hatte und nochmal drüber nachgedacht habe, wurde es mir klar
Grüße
waldmeister24
Hi waldmeister24
Bei dieser Sortierung kann es natürlich passieren, daß eine Regel nicht greift, weil ein Paket schon auf eine frühere Regel gematcht hat (wenn es z.B. Überlappungen bei den Quell- oder/oder Zielports gab). In solchen Fällen kannst du Regeln über die Priorität "nach oben" zwingen - was natürlich auch ein Verschieben weiterer Regeln nach sich ziehen kann...
Gruß
Backslash
Im Allgemeinen brauchst du dir über die Reihenfolge keine Gedanken machen, da sas LANCOM Die Regeln intern so sortiert, die speziellsten Regeln oben und die allgemeinsten unten stehen. Diese Regeln werden wie ich schon geschrieben habe "von oben nach unten" abgearbeitet und der erste Treffer gilt...Gibt es da irgendwo eine Empfehlung der Reihenfolge?
Bei dieser Sortierung kann es natürlich passieren, daß eine Regel nicht greift, weil ein Paket schon auf eine frühere Regel gematcht hat (wenn es z.B. Überlappungen bei den Quell- oder/oder Zielports gab). In solchen Fällen kannst du Regeln über die Priorität "nach oben" zwingen - was natürlich auch ein Verschieben weiterer Regeln nach sich ziehen kann...
Das ist die einzige allgemeingültige Empfehlung für die Position einer Regel... Aber das passiert bei der automatischen Sortierung sowiesoWenn ich das richtig verstanden habe, muß die Deny_ALL-Regel ganz nach unten.
Gruß
Backslash
-
waldmeister24
- Beiträge: 241
- Registriert: 18 Mär 2005, 23:21
