Moin,
ich habe folgende Einrichtung in der Firewall:
- Regel Prio 0: Reject anfragen von allen Stationen an alle Stationen über Default Route. Kein QoS
- Regel Prio 1: Accept anfragen von allen Stationen an Arbeitsplatz 1,4,7 über Default Route. Kein QoS
- Regel Prio 1: Accept anfragen von Arbeitsplatz 1,4,7 an allen Stationen über Default Route. Kein QoS
- Regel Prio 0: Keine Regeln/Aktionen von Arbeitsplatz 1,7 an alle Stationen. QoS Object Bandbreite garantieren 512kb global erzwungen
- Regel Prio 0: Keine Regeln/Aktionen von allen Stationen an Arbeitsplatz 1,7. QoS Object Bandbreite garantieren 512kb global erzwungen.
Nun zu meinen Fragen:
1.) Sind die Regeln so richtig? (Hab irgendwo gesehen, dass man für die Bandbreiten-Garantie noch ein Accept definieren muss?)
2.) Kann man die Regeln weiter vereinfachen/zusammenfassen? (ohne das weiter zu verkompliziere)
3.) Wenn ich bei dem QoS Object die Einstellung auf global setze teilen sich dann Station 1 und Station 7 die 512kb Garantie?
3.1) Die eine Regel garantiert dann 512kb upstream und die andere 512kb downstream. Korrekt?
4.) Kann/Muss/Sollte ich zusätzliche Regeln definieren um die Rechner(Vor allem Arbeitsplatz 1,4,7) vor unbefugtem Zugriff aus dem Internet zu schützen?
Danke
Fragen zu Firewall Regeln
Moderator: Lancom-Systems Moderatoren
Hi Richard
desweiteren gibt es ein Problem mit der Mindestbandbreite,m doch dazu unten mehr...
Um nur einmal zu reservieren mußt du beide Richtungen in einer Regel verpacken - nur wird das durch das "alle Stationen" Objekt schjwer, denn das müßtest du sowohl bei der Quelle als auch im Ziel haben, wodurch jede beschrankung infällig wird. Hier hilft nur, mit Regelketten zu arbeiten:
Erst eine Regel, die die Mindestbandbreiten reserviert, mit dem Häkchen bei "weitere Regeln beachten" und danach die Regeln, die Traffic erlauben oder verbieten:
- Regel Prio 2: Accept anfragen von allen Stationen an Arbeitsplatz 1,4,7 über Default Route. Kein QoS
- Regel Prio 2: Accept anfragen von Arbeitsplatz 1,4,7 an allen Stationen über Default Route. Kein QoS
- weitere Regeln, für Traffic der kein QoS machen soll, ebenfalls mit Prio 2...
- Regel Prio 1: Keine Regeln/Aktionen von allen Stationen an alle. QoS Object Bandbreite garantieren 512kb global erzwungen, weitere Regeln beachten
- Regel Prio 0: Accept anfragen von Arbeitsplatz 1,7 an alle Stationen, kein QoS
- Regel Prio 0: Accept anfragen von allen Stationen an Arbeitsplatz 1,7, kein QoS
- Regel Prio 0: Reject anfragen von allen Stationen an alle Stationen. Kein QoS
Gruß
Backslash
sinnvoll wäre es, ist aber nicht zwingend erforderlich1.) Sind die Regeln so richtig? (Hab irgendwo gesehen, dass man für die Bandbreiten-Garantie noch ein Accept definieren muss?)
Die Frage ist, was du willst... Insbesondere willst di für die Stationen 1 und 7 eine Mindestbandbreite, aber nur, wenn sie nicht über die Defaultroute gehen... Ich frage mich warum... Hier wäre ggf. Potential der vereinfachung.2.) Kann man die Regeln weiter vereinfachen/zusammenfassen? (ohne das weiter zu verkompliziere)
desweiteren gibt es ein Problem mit der Mindestbandbreite,m doch dazu unten mehr...
ja3.) Wenn ich bei dem QoS Object die Einstellung auf global setze teilen sich dann Station 1 und Station 7 die 512kb Garantie?
nein... sie garantieren beide 512kb/s in Up- *und* Down-Streamrichtung. Es hängt nur von der Richtung des Aufbaus ab, welche Regel genutzt wird. Gerade, bei der globalen Reservierung, wirst du in dieser Konstellation verblüfft werden: Wenn einmal von innen nach aussen und einmal von aussen nach innen aufgebaut wird, hast du plötzlich zwei mal 512 kb/s reserviert - was du vermutlich nicht wolltest...3.1) Die eine Regel garantiert dann 512kb upstream und die andere 512kb downstream. Korrekt?
Um nur einmal zu reservieren mußt du beide Richtungen in einer Regel verpacken - nur wird das durch das "alle Stationen" Objekt schjwer, denn das müßtest du sowohl bei der Quelle als auch im Ziel haben, wodurch jede beschrankung infällig wird. Hier hilft nur, mit Regelketten zu arbeiten:
Erst eine Regel, die die Mindestbandbreiten reserviert, mit dem Häkchen bei "weitere Regeln beachten" und danach die Regeln, die Traffic erlauben oder verbieten:
- Regel Prio 2: Accept anfragen von allen Stationen an Arbeitsplatz 1,4,7 über Default Route. Kein QoS
- Regel Prio 2: Accept anfragen von Arbeitsplatz 1,4,7 an allen Stationen über Default Route. Kein QoS
- weitere Regeln, für Traffic der kein QoS machen soll, ebenfalls mit Prio 2...
- Regel Prio 1: Keine Regeln/Aktionen von allen Stationen an alle. QoS Object Bandbreite garantieren 512kb global erzwungen, weitere Regeln beachten
- Regel Prio 0: Accept anfragen von Arbeitsplatz 1,7 an alle Stationen, kein QoS
- Regel Prio 0: Accept anfragen von allen Stationen an Arbeitsplatz 1,7, kein QoS
- Regel Prio 0: Reject anfragen von allen Stationen an alle Stationen. Kein QoS
Gruß
Backslash
Eine Sache verstehe ich noch nicht ganz. Es soll von außen kein unangeforderter Zugriff auf das Netzwerk möglich sein. Eigentlich sollte das ja schon durch das reine NAT sichergestellt sein.
Nun habe ich aber mal zum Test diese Firewall-Regel erstellt:
- Reject von allen Quellen an lokales Netzwerk nur Defaultroute mit Logging
Nun laufen mir gelegentlich Logs auf, dass Traffic durch diese Regel blockiert wurde. Blockiert diese Firewall Regel mehr als ohnehin schon durch NAT blockiert wird? Oder greift die Regel schon vor dem NAT und das NAT hätte die Anfrage eh aussortiert?
Danke
Nun habe ich aber mal zum Test diese Firewall-Regel erstellt:
- Reject von allen Quellen an lokales Netzwerk nur Defaultroute mit Logging
Nun laufen mir gelegentlich Logs auf, dass Traffic durch diese Regel blockiert wurde. Blockiert diese Firewall Regel mehr als ohnehin schon durch NAT blockiert wird? Oder greift die Regel schon vor dem NAT und das NAT hätte die Anfrage eh aussortiert?
Danke