Hallo,
wie werden denn die einzelnen Eingabefelder der IPv4 Firewallregeln verknüpft? Wenn ich unter Stationen eine Verbindungsquelle und ein Verbindungsziel angebe, gilt die Regel dann nur für Pakete, die beide Kriterien erfüllen oder für alle die eines der Kriterien erfüllen? Sprich:
3 Stationen angegeben als Quelle, eines als Ziel:
1) (Quelle 1 und Ziel 1) oder (Quelle 2 und Ziel 1) oder (Quelle 3 und Ziel 1)
2) Alle Verbindungen von Quelle 1 oder von Quelle 2 oder von Quelle 3 oder alle Verbindungen an Ziel 1
Werden Felder auf anderen Reitern genauso verknüpft (z.B. Eingabe auf Reiter Stationen und auf Reiter Dienste)?
Danke!
Grundsatzfrage: Firewallregeln
Moderator: Lancom-Systems Moderatoren
Re: Grundsatzfrage: Firewallregeln
Hi Avalanche,
ergibt im Ergfebnis eine Liste, in der jeder Station alle Dienste zugeordnet sind. Jeder Eintrag in dieser Liste ist dann eine eigenständige
Quelle oder ein eigenständiges Ziel, z.B. bei der Quellen, einem Ziel und zwei Ziel-Diensten ergeben sich Filter für
(Quelle 1 und Ziel 1 und Zieldienst 1) oder (Quelle 1 und Ziel 1 und Zieldienst 2) oder
(Quelle 2 und Ziel 1 und Zieldienst 1) oder (Quelle 2 und Ziel 1 und Zieldienst 2) oder
(Quelle 3 und Ziel 1 und Zieldienst 1) oder (Quelle 3 und Ziel 1 und Zieldienst 2)
ich hoffe das ist verständlich ausgedrückt...
Gruß
Backslash
es ist eine ODER-Verknüpung der Stationen innerhalb einer Spalte sowie eine UND-Verknüpfung zwischen den Spalten, d.h. bei 3 Stationen angegeben als Quelle, eines als Ziel matchen (Quelle 1 und Ziel 1) oder (Quelle 2 und Ziel 1) oder (Quelle 3 und Ziel 1)...Wenn ich unter Stationen eine Verbindungsquelle und ein Verbindungsziel angebe, gilt die Regel dann nur für Pakete, die beide Kriterien erfüllen oder für alle die eines der Kriterien erfüllen?
Dienste werden innerhalb einer Spalte mit den darin vorhandenen Stationen UND-Verknüpft, d.h. eine Liste von Stationen und DienstenWerden Felder auf anderen Reitern genauso verknüpft (z.B. Eingabe auf Reiter Stationen und auf Reiter Dienste)?
ergibt im Ergfebnis eine Liste, in der jeder Station alle Dienste zugeordnet sind. Jeder Eintrag in dieser Liste ist dann eine eigenständige
Quelle oder ein eigenständiges Ziel, z.B. bei der Quellen, einem Ziel und zwei Ziel-Diensten ergeben sich Filter für
(Quelle 1 und Ziel 1 und Zieldienst 1) oder (Quelle 1 und Ziel 1 und Zieldienst 2) oder
(Quelle 2 und Ziel 1 und Zieldienst 1) oder (Quelle 2 und Ziel 1 und Zieldienst 2) oder
(Quelle 3 und Ziel 1 und Zieldienst 1) oder (Quelle 3 und Ziel 1 und Zieldienst 2)
ich hoffe das ist verständlich ausgedrückt...
Gruß
Backslash
Re: Grundsatzfrage: Firewallregeln
Vielen Dank für die Erklärung.
Nachdem sich das auf die logischen Verbindungen bezieht, brauche ich ggf. auch zwei Regeln, falls die Verbindung von beiden Seiten aus aufgebaut werden kann:
A > B Dienst x
B > A Dienst x
Oder verstehe ich das falsch? Leider ist dieser Teil im Handbuch praktisch nicht beschrieben (oder ich habe ihn überlesen).
Nachdem sich das auf die logischen Verbindungen bezieht, brauche ich ggf. auch zwei Regeln, falls die Verbindung von beiden Seiten aus aufgebaut werden kann:
A > B Dienst x
B > A Dienst x
Oder verstehe ich das falsch? Leider ist dieser Teil im Handbuch praktisch nicht beschrieben (oder ich habe ihn überlesen).
Re: Grundsatzfrage: Firewallregeln
Hi Avalanche,
Gruß
Backslash
korrektNachdem sich das auf die logischen Verbindungen bezieht, brauche ich ggf. auch zwei Regeln, falls die Verbindung von beiden Seiten aus aufgebaut werden kann:
A > B Dienst x
B > A Dienst x
das steht auch so im Handbuch (genauer: im Referenz-Manual): Kapitel 8.2.2 "Unterschiedliche Typen von Firewalls" und da speziell der Abschnitt "Stateful-Packet-Inspection", sowie auch später in der Beschreibung, wie die Firewall genau arbeitetOder verstehe ich das falsch? Leider ist dieser Teil im Handbuch praktisch nicht beschrieben (oder ich habe ihn überlesen).
Gruß
Backslash
Re: Grundsatzfrage: Firewallregeln
Wollte nur nachfragen, ob ich das auch richtig verstanden hatte 
Re: Grundsatzfrage: Firewallregeln
Ich häng mich hier mal mit dran, weil ich eine ähnliche Grundsatzfrage habe:
Ich arbeite zwar schon eine Weile mit LANCOM es ist mir aber eben erst aufgefallen. (vielleicht ist das erst so mit einem neuen Update)
Wenn ich eine Regel erstelle und geben einen Port fest an (zb TCP 25)
und ich klicke dann auf "OK" (zum anlegen der Regeln) und nochmal "OK" (zum Verlassen der Regeln, dann lande ich wieder im Hauptmenü)
Und gehe nun wieder in die Regeln rein, dann hat mir LANCOM aus meiner Regel folgendes gemacht:
Also aus TCP Port 25 (eine Zeile) ist nun Port 25 und TCP geworden (2 Zeilen)
Sind nun wirklich alle TCP Anfragen UND Port 25 (jedes Protokoll) frei gegeben?
Das ist so nicht gedacht.
Oder ist das lediglich eine komische Anzeige in der GUI? (Ein Bug?)
Ich arbeite zwar schon eine Weile mit LANCOM es ist mir aber eben erst aufgefallen. (vielleicht ist das erst so mit einem neuen Update)
Wenn ich eine Regel erstelle und geben einen Port fest an (zb TCP 25)
Code: Alles auswählen
Name: ALLOW-SENDMAIL
[x] Regel ist für die Firewall aktiv
Aktion: übertragen
Quelle: LOCALNET
Ziel: 123.123.123.123
Dienste: TCP Port 25Und gehe nun wieder in die Regeln rein, dann hat mir LANCOM aus meiner Regel folgendes gemacht:
Code: Alles auswählen
Name: ALLOW-SENDMAIL
[x] Regel ist für die Firewall aktiv
Aktion: übertragen
Quelle: LOCALNET
Ziel: 123.123.123.123
Dienste: Port 25, TCPSind nun wirklich alle TCP Anfragen UND Port 25 (jedes Protokoll) frei gegeben?
Das ist so nicht gedacht.
Oder ist das lediglich eine komische Anzeige in der GUI? (Ein Bug?)
Re: Grundsatzfrage: Firewallregeln
Hi,
Wenn ich in Lanconfig ein manuelles port Objekt anlege, sieht es nachher genauso aus wie vorher.
Wie schaut es denn vorher/nachher bei dir aus?
Und was sagt die Anzeige auf der Konsole, die hat im Zweifelsfall immer recht.
Gruß
Wenn ich in Lanconfig ein manuelles port Objekt anlege, sieht es nachher genauso aus wie vorher.
Wie schaut es denn vorher/nachher bei dir aus?
Und was sagt die Anzeige auf der Konsole, die hat im Zweifelsfall immer recht.
Code: Alles auswählen
ls setup/ip-router/firewall/rulesDu hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Grundsatzfrage: Firewallregeln
Ok dann mal hier einige Screenshots:
Also ich gehe in die Regeln und klicke "Hinzufügen".
Beim Reiter "Dienste" wähle ich unter Ziel "folgende Protokolle/Ziel-Dienste" - "Hinzufügen" - "Benutzerdefinierten Dienst hinzufügen"
Nun gebe ich ein: "[x] TCP" "[x] Ports" "25" (siehe Bild 1.png) Danach klicke ich "OK" um die Regel zu erstellen, die Regel wird "richtig" angezeigt (Bild 2.png links)
Anschließend auf "OK" um die Regelliste zu schließen.
Nun wieder auf Regeln klicken und siehe da jetzt steht hier schon eigenartiger Weise "Port 25, TCP" statt "TCP Port 25" (siehe Bild 2.png rechts) Wenn ich das bearbeite sehe ich in 2 Zeilen "Port 25" und "TCP" (Bild 3.png links)
Wenn ich "Port 25" bearbeite (siehe Bild 3.png mitte)
Wenn ich "TCP" bearbeite (Bild 3.png rechts)
Also ich gehe in die Regeln und klicke "Hinzufügen".
Beim Reiter "Dienste" wähle ich unter Ziel "folgende Protokolle/Ziel-Dienste" - "Hinzufügen" - "Benutzerdefinierten Dienst hinzufügen"
Nun gebe ich ein: "[x] TCP" "[x] Ports" "25" (siehe Bild 1.png) Danach klicke ich "OK" um die Regel zu erstellen, die Regel wird "richtig" angezeigt (Bild 2.png links)
Anschließend auf "OK" um die Regelliste zu schließen.
Nun wieder auf Regeln klicken und siehe da jetzt steht hier schon eigenartiger Weise "Port 25, TCP" statt "TCP Port 25" (siehe Bild 2.png rechts) Wenn ich das bearbeite sehe ich in 2 Zeilen "Port 25" und "TCP" (Bild 3.png links)
Wenn ich "Port 25" bearbeite (siehe Bild 3.png mitte)
Wenn ich "TCP" bearbeite (Bild 3.png rechts)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Grundsatzfrage: Firewallregeln
Hi,
ja den beschriebenen Effekt von lolman habe ichauch schon festgestellt. Es scheint sich hier um eine "Eigenart" von LANconfig zu handeln. Alle regeln, die ich früher einmal erstellt habe, werden auch so putzig angezeigt, aber es hat sich an den Rules selber natürlich nichts geändert.
vg Bernie
ja den beschriebenen Effekt von lolman habe ichauch schon festgestellt. Es scheint sich hier um eine "Eigenart" von LANconfig zu handeln. Alle regeln, die ich früher einmal erstellt habe, werden auch so putzig angezeigt, aber es hat sich an den Rules selber natürlich nichts geändert.
vg Bernie
Man lernt nie aus.
Re: Grundsatzfrage: Firewallregeln
Kann hier jemand Rückmeldung geben, ob das Problem immer noch besteht?
Ich habe aktuell Version 8.84 im Einsatz und würde gerne wissen ob das unter neuen Releases behoben wurde.
Dann wäre dies ein Grund (mehr) um upzudaten.
Andernfalls würde ich mal ein Ticket bei Lancom eröffnen.
Ich finde das schon einen krassen Bug in der Ansicht.
Könnte das jemand mit einer neueren Version einmal bei sich nachstellen? (siehe Screenshots weiter oben)
Ich habe aktuell Version 8.84 im Einsatz und würde gerne wissen ob das unter neuen Releases behoben wurde.
Dann wäre dies ein Grund (mehr) um upzudaten.
Andernfalls würde ich mal ein Ticket bei Lancom eröffnen.
Ich finde das schon einen krassen Bug in der Ansicht.
Könnte das jemand mit einer neueren Version einmal bei sich nachstellen? (siehe Screenshots weiter oben)
Re: Grundsatzfrage: Firewallregeln
ist unter 9 RU1 immer noch genauso, angelegt als TCP Port 25, Anzeige später als Port 25 TCP 
Re: Grundsatzfrage: Firewallregeln
Danke für die Rückmeldung
Ich werde es mal an Lancom schreiben
Ich werde es mal an Lancom schreiben
-
Dr.Einstein
- Beiträge: 3226
- Registriert: 12 Jan 2010, 14:10
Re: Grundsatzfrage: Firewallregeln
Aber das ist schon seit Jahren. Also mit ziemlicher Sicherheit so gewollt ...
Re: Grundsatzfrage: Firewallregeln
Was soll daran gewollt sein?