Regelabarbeitung unklar?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Pauli
Beiträge: 412
Registriert: 06 Mär 2006, 15:49

Regelabarbeitung unklar?

Beitrag von Pauli »

Hallo.

Ich versuche meine Routerkonfiguration (1721) zu optimieren und schaue mir dazu auch die Traces an. Ich verstehe allerdings nicht warum es zu folgenden Eintragungen kommt, obwohl ich den Punkt 'weitere Regeln beachten ...' nicht markiert habe:

[Firewall] 2009/10/06 08:44:50,840
Packet matched rule TO_DMZ_HTTPS-EINGEHEND
DstIP: 10.0.0.11, SrcIP: 80.187.108.xx, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 36239, Flags: S
Seq: 2716977474, Ack: 0, Win: 33580, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: 08 = 36 3d 81 f7 00 00 00 00
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: SACK permitted

test next filter (no matching condition)

[Firewall] 2009/10/06 08:44:50,840
Packet matched rule DMZ_DENYALL-EINGEHEND
DstIP: 10.0.0.11, SrcIP: 80.187.108.xx, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 36239, Flags: S
Seq: 2716977474, Ack: 0, Win: 33580, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: 08 = 36 3d 81 f7 00 00 00 00
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: SACK permitted

test next filter (no matching condition)

[Firewall] 2009/10/06 08:44:50,840
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 10.0.0.11, SrcIP: 80.187.108.xx, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 36239, Flags: S
Seq: 2716977474, Ack: 0, Win: 33580, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: 08 = 36 3d 81 f7 00 00 00 00
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: SACK permitted

packet accepted


Mit der ersten Regel lasse ich den HTTPS Verkehr in die DMZ explizit zu. Danach sollte das Paket doch durch gehen oder? Und wo kommt eigetnlich die 'DEFAULT (ACCEPT-ALL)' Regel her?

Danke, Pauli
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Pauli
Mit der ersten Regel lasse ich den HTTPS Verkehr in die DMZ explizit zu
du hast aber offensichtlich an der Aktion eine Bedingung hängen, die nicht erfüllt ist. Daher kommt auch die Meldung "no matching condition".
Danach sollte das Paket doch durch gehen oder?
Da die Bedingung in der Aktion nicht greift, wird der nächste Filter gesucht.
Und wo kommt eigetnlich die 'DEFAULT (ACCEPT-ALL)' Regel her?
Wenn gar keine Regel matcht, dann greift diese fest eingebaute Regel.

Gruß
Backslash
Nach oben
Antworten

Zurück zu „Fragen zum Thema Firewall“