[geloest] Priorisierung der Firewall-Regeln

Meshuggah · Beitrag von **Meshuggah** » 06 Dez 2007, 12:45

Hallo,

ich habe hier ein Problem mit der Priorisierung der Firewall-Regeln.

Ich habe einen LanCom 1721 VPN mit LCOS 7.26, Konfiguration erfolgt über WEBConfig (habe hier keinen Windows-Rechner). Der Router ist über zwei Breitbandanschlüsse mit dem Internet verbunden.

Dabei soll der komplette HTTP-Verkehr zum (Beispiel-)Host www.xyz.de über den ersten, der restliche HTTP-Verkehr über den zweiten Anschluß laufen. Dazu habe ich (neben anderen) in der Regel-Liste zwei Regeln angelegt

(Name Prot. Quelle Ziel Aktion verknuepft Prio aktiv VPN stateful Rtg-Tag)

Regel 1:
HTTP_xyz HTTP hosts_intern %Dwww.xyz.de ACCEPT nein 900 ja nein ja 1

Regel 2:
HTTP_rest HTTP hosts_intern ANYHOST ACCEPT nein 100 ja nein ja 2

Das Problem ist, dass der LanCom die Regeln immer falsch sortiert. Ich habe beiden Regeln auch schon eine gleiche Prio verpasst (lt. Handbuch wird dann zuerst die spezielle, danach die allgemeine Regel eingefügt) und testweise Regel 2 höher priorisiert als Regel 1 - aber in allen drei Varianten taucht Regel 2 vor Regel 1 auf. Das Problem hatte ich auch mit der vorher installierten Firmware (7.22).

Die Folge ist natürlich, dass Regel 1 nie greift und auch der Verkehr zu www.xyz.de über den zweiten Anschluß läuft...

Habe ich einen Denkfehler bzw. irgendwo noch eine Einstellung übersehen?

Danke

Meshuggah

/edit: Peinlich! Habe gerade gesehen, dass ich den Thread im falschen Unterforum eröffnet habe. Bitte verschieben

TheCloud · Beitrag von **TheCloud** » 06 Dez 2007, 13:19

Hallo Meshuggah,

Du kannst in der Firewall keine DNS-Namen als Quelle oder Ziel angeben. Hier können nur IP-Adressen, MAC-Adressen oder Gegenstellen angeben werden.

Hast Du schon mal versucht, die IP-Adresse von www.xyz.de einzutragen?

Gruß

TC

Meshuggah · Beitrag von **Meshuggah** » 06 Dez 2007, 13:33

Das war das Problem, danke für die schnelle Antwort.

Wenn ich die IP-Adresse(n) angebe, werden die Regeln korrekt sortiert.
Ich bin von meinen Erfahrungen mit IPTables ausgegangen und habe mich gefreut, dass nach %D der Hostname angegeben werden kann. Den entsprechenden Hinweis im Handbuch habe ich dabei natürlich überlesen...

Wenn in der Firewall Regeln mit nicht auflösbaren Hostnamen angegeben werden, kommt keine Fehlermeldung - die entsprechenden Regeln werden einfach nach allen anderen eingefügt.

backslash · Beitrag von **backslash** » 06 Dez 2007, 14:12

Hi Meshuggah

Wenn in der Firewall Regeln mit nicht auflösbaren Hostnamen angegeben werden, kommt keine Fehlermeldung - die entsprechenden Regeln werden einfach nach allen anderen eingefügt.

sie wird nach unten sortiert, weil der Name momentan nicht aufgelöst werden kann. Wenn du im lokalen Netz einen Rechner hättest, der sich www.xyz.de nennt und der sich dem LANCOM bekannt macht (z.B. über NetBIOS, DHCP oder expliziter Registrierung am DNS), wird die Regel korrekt einsortiert, sobald der Name bekannt wird.

Daher ist das letztendlich kein Fehler, denn du willst ja auch Regeln für Rechner erstellen können, die momentan abgeschaltet sind...

Gruß
Backslash

Meshuggah · Beitrag von **Meshuggah** » 06 Dez 2007, 14:22

Das habe ich (jetzt) auch verstanden

Ich bin von dem ausgegangen, was ich kannte - bei IPTables kann man den Host mit Namen angeben; die Auflösung erfolgt automatisch.
Als die Regeln "falsch" sortiert wurden, habe ich an den falschen Stellen gesucht/probiert und kam natürlich auf keinen "grünen Zweig".

Wie gesagt: wer lesen kann, ist klar im Vorteil...

Nochmal vielen Dank

Meshuggah