Hi,
ich habe ziemlich wenig ahnung im umgang mit firewalls und versuche mir derzeit zum ersten mal etwas wissen darüber anzueignen.
wir haben einen lancom 821+ und ich habe versucht eine deny all strategie umzusetzen. Die meisten computer im netzwerk sollen nur zugriff auf web und email haben und nur einer (meiner ip 10.0.0.3) nutzt noch sachen darüber hinaus wie Teamspeak, Steam, etc.
hier kann man sehen was ich definiert habe:
http://rapidshare.com/files/197191313/firewall.jpg
ich bin mir nun so unsicher weil auf meinem rechner auch programme ins inet connecten können für die ich die ports eigentlich gar nicht eingrtragen hab. Z.b. läuft bei mir ventrilo (port 7175) und skype (port 431 glaube ich) und icq. Obwohl ich dazu wiegesagt gar nix konfiguriert habe. Hab ich mir irgendwas eingebaut was alles wieder aushebelt ? oder was falsch gemacht ?
hilfestellung zu deny all
Moderator: Lancom-Systems Moderatoren
Hi olosan
als erstes fällt mit auf, daß du merfach als Port "0" angegeben hast, z.B. in ALLOW-TS-LERK (Quelle) oder ALLOW-STEAM2-LERK (Ziel). Ein Port 0 bedeutet: alle Ports, weshalb du die auch alle weiteren Portangaben in der Regel schenken kannst.
Gerade die Angabe des Ports "0" im Ziel (Regel ALLOW-STEAM2-LERK ) führt dazu, daß alle Dienste freigeschaltet sind (so wie du es ja auch beobachtest).
Bei der Quelle (Regel ALLOW-TS-LERK) sollte man tunlichst *keine* Ports angeben, weil Quellports *immer* dynamisch gewählt werden (bis auf ein paar ganz wenige Ausnahmen)
Ansonsten fällt mir noch die Regel ALLOW-STEAMFRIENDS-LERK auf, bei der du als Netzmaske wieder die IP-Adresse angegeben hast. Das fürt dazu, daß in deinem Netz, jeder dessen IP-Adresse am Ende die letzten beiden Bits gesetzt hat, diesen Dienst nutzen kann (10.0.0.3, 10.0.0.7, 10.0.0.15, 10.0.0.31, 10.0.0.63, 10.0.0.127). Wenn nur der Host 10.0.0.3 diesen Dienst nutzen darf, dann nimm die Netzmaske dort weg.
Und als allerletztes hast du in der DENY-ALL-Regel redundente Aktionen:
- Zurückweisen und SNMP-benachrichtigung, wenn das Paket über die Default-Route läuft
- Zurückweisen und SNMP-benachrichtigung, für alle anderen Pakete.
Hier reicht "%Lcds0 %R %N" vollkommen aus
Gruß
Backslash
als erstes fällt mit auf, daß du merfach als Port "0" angegeben hast, z.B. in ALLOW-TS-LERK (Quelle) oder ALLOW-STEAM2-LERK (Ziel). Ein Port 0 bedeutet: alle Ports, weshalb du die auch alle weiteren Portangaben in der Regel schenken kannst.
Gerade die Angabe des Ports "0" im Ziel (Regel ALLOW-STEAM2-LERK ) führt dazu, daß alle Dienste freigeschaltet sind (so wie du es ja auch beobachtest).
Bei der Quelle (Regel ALLOW-TS-LERK) sollte man tunlichst *keine* Ports angeben, weil Quellports *immer* dynamisch gewählt werden (bis auf ein paar ganz wenige Ausnahmen)
Ansonsten fällt mir noch die Regel ALLOW-STEAMFRIENDS-LERK auf, bei der du als Netzmaske wieder die IP-Adresse angegeben hast. Das fürt dazu, daß in deinem Netz, jeder dessen IP-Adresse am Ende die letzten beiden Bits gesetzt hat, diesen Dienst nutzen kann (10.0.0.3, 10.0.0.7, 10.0.0.15, 10.0.0.31, 10.0.0.63, 10.0.0.127). Wenn nur der Host 10.0.0.3 diesen Dienst nutzen darf, dann nimm die Netzmaske dort weg.
Und als allerletztes hast du in der DENY-ALL-Regel redundente Aktionen:
- Zurückweisen und SNMP-benachrichtigung, wenn das Paket über die Default-Route läuft
- Zurückweisen und SNMP-benachrichtigung, für alle anderen Pakete.
Hier reicht "%Lcds0 %R %N" vollkommen aus
Gruß
Backslash
vielen dank für die hilfe !
habe das meiste entsprechend geändert. Nur bei der Angabe des Ports 0 im Ziel das habe ich gar nicht selber gesetzt sondern der einrichtungsassistent von Lanconfig hat mir nachdem ich ne Portrange eingetragen hab einfach zwischen Anfangs und Endport die 0 eingesetzt. Also ich will z.b. die Ports von 27000 bis 27015 freischalten dann setze ich da ein 27000 - 27015. Anschließden taucht das ganze in dem Format %S27000,0,27015 in der Regel Tabelle auf.
Wie kann ich das sonst mit der Portrange machen ? alle Ports von 27000 bist 27015 einzeln hinschreiben oder kann ich einfach %S27000 - 27015 in die Tabelle eintragen ?
habe das meiste entsprechend geändert. Nur bei der Angabe des Ports 0 im Ziel das habe ich gar nicht selber gesetzt sondern der einrichtungsassistent von Lanconfig hat mir nachdem ich ne Portrange eingetragen hab einfach zwischen Anfangs und Endport die 0 eingesetzt. Also ich will z.b. die Ports von 27000 bis 27015 freischalten dann setze ich da ein 27000 - 27015. Anschließden taucht das ganze in dem Format %S27000,0,27015 in der Regel Tabelle auf.
Wie kann ich das sonst mit der Portrange machen ? alle Ports von 27000 bist 27015 einzeln hinschreiben oder kann ich einfach %S27000 - 27015 in die Tabelle eintragen ?
Hi olosan
Gruß
Backslash
das wäre dann aber ein riesen Bug...Nur bei der Angabe des Ports 0 im Ziel das habe ich gar nicht selber gesetzt sondern der einrichtungsassistent von Lanconfig hat mir nachdem ich ne Portrange eingetragen hab einfach zwischen Anfangs und Endport die 0 eingesetzt. Also ich will z.b. die Ports von 27000 bis 27015 freischalten dann setze ich da ein 27000 - 27015. Anschließden taucht das ganze in dem Format %S27000,0,27015 in der Regel Tabelle auf.
ja, trage einfach %S2700-27015 in die Tabelle ein (ohne Leerzeichen dazwischen!)Wie kann ich das sonst mit der Portrange machen ? alle Ports von 27000 bist 27015 einzeln hinschreiben oder kann ich einfach %S27000 - 27015 in die Tabelle eintragen ?
Gruß
Backslash
hi,
hab jetzt manuell so gefixt und funktioniert prima. Ich habe herausgefunden wie das mit dem setup wizzard passieren konnte. Ich habe mir zuvor in eine txt datei die ports die ich brauche reingeschrieben im format: 27000 - 27015. Also mit leerzeichen dazwischen. Wenn man das einfach per copy/paste dann einfügt macht er daraus 27000,0,27015 weil er mit den leerzeichen wahrscheinlich nix anfangen kann. Normalerweise kann man da auch keine leerzeichen setzen in der eingabemaske.
Also vielen dank für die Hilfe!
wenn ich wiedermal nen problem habe werd ich mich melden
hab jetzt manuell so gefixt und funktioniert prima. Ich habe herausgefunden wie das mit dem setup wizzard passieren konnte. Ich habe mir zuvor in eine txt datei die ports die ich brauche reingeschrieben im format: 27000 - 27015. Also mit leerzeichen dazwischen. Wenn man das einfach per copy/paste dann einfügt macht er daraus 27000,0,27015 weil er mit den leerzeichen wahrscheinlich nix anfangen kann. Normalerweise kann man da auch keine leerzeichen setzen in der eingabemaske.
Also vielen dank für die Hilfe!
wenn ich wiedermal nen problem habe werd ich mich melden