Verständnisfrage Firewallregel Abarbeitung

COMCARGRU · Beitrag von **COMCARGRU** » 30 Mai 2009, 13:07

Tach,

so ich nicht ganz falsch liege, arbeitet die Firewall doch derart, daß ein Paket welches auf eine Regel zutrifft als abgearbeitet gilt und nicht weiter gegen andere Regeln geprüft wird, wenn nicht extra dieser Schalter dafür gesetzt ist?

Eigentlich dürfte es dann diesen Trace bei mir so nicht geben:

[Firewall] 2009/05/30 12:54:57,620
Packet matched rule ALLOW-ICMP
DstIP: x.x.x.x, SrcIP: x.x.x.x, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0200, seq: 0x4d00

test next filter (no matching condition)

[Firewall] 2009/05/30 12:54:57,620
Packet matched rule ALLOW-VPN
DstIP: x.x.x.x, SrcIP: x.x.x.x Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0200, seq: 0x4d00

packet accepted

Regel ALLOW-ICMP erlaubt Pings von innen nach außen "nur über die Default-Route".

Regel ALLOW-VPN erlaubt sämtlichen Traffic über eine "VPN-Route".

Gepingt wurde hier ein eingewählter VPN Client, also ist der Treffer auf Regel ALLOW-VPN korrekt! Nur woher kommt der Treffer auf ALLOW-ICMP, der ja dann wohl doch als False (test next filter (no matching condition)) erkannt wurde?

Danke
COMCARGRU

backslash · Beitrag von **backslash** » 02 Jun 2009, 12:27

Hi COMCARGRU

Nur woher kommt der Treffer auf ALLOW-ICMP,

nun ja, du schriebst doch:

Regel ALLOW-ICMP erlaubt Pings von innen nach außen "nur über die Default-Route".

d.h.

Code: Alles auswählen

Quelle:  alle Stationen im lokalen Netz
Ziel:    alle Stationen
Dienste: ICMP
Aktion:  übertragen, nur auf Defaultroute

und

Gepingt wurde hier ein eingewählter VPN Client

du hast also von einer Station im lokalen Netz den VPN-Client angepingt, der nunmal unter alle Stationen fällt... Daher muß zunächst die ALLOW-ICMP-Regel matchen. Da die Aktion aber auf die Defaultroute eingeschränkt und das Ziel aber nicht auf der Defaultroute zu erreichen ist, darf die Regel nicht angewandt werden und es wird die nächste gesucht die matcht - und das ist dann die ALLOW-VPN, die vermutlich so aussieht:

Code: Alles auswählen

Quelle:  alle Stationen
Ziel:    alle Stationen
Dienste: alle Dienste:
Aktion:  übertragen, nur auf VPN-Route

Gruß
Backslash

COMCARGRU · Beitrag von **COMCARGRU** » 03 Jun 2009, 08:48

Hi,

Danke! Heist also, daß die Regel in zwei Schritten abgearbeitet wird und nicht in nur einem Schritt... - Dann ist es logisch. Wäre es nur ein Schritt - wovon ich ausgegangen bin - dann hätte es ja kein "match" geben dürfen auf der ICMP Regel...

Danke
COMCARGRU

backslash · Beitrag von **backslash** » 03 Jun 2009, 14:10

Hi COMCARGRU

Die Regel muß in zwei Schritten abgearbeitet werden, weil du ja über die Regeln auch Routing-Tags zuweisen kannst, über die die zu verwendende Route erst ermittelt wird... Daher gibt es zunächst einen reinen Adress-, Protokoll- und Port-Match und erst danach wird die Route ausgewertet

Gruß
Backslash

COMCARGRU · Beitrag von **COMCARGRU** » 03 Jun 2009, 15:37

Hi,

weil du ja über die Regeln auch Routing-Tags zuweisen kannst

Aha - das war das fehlende Teil des Puzzels! Routing Tags kamen mit welcher Firmware 6.x? Weil vorher gab es das ja dann nicht, weil es keine Routing Tags gab?

Wird Zeit mal wieder eine Adminschlung zu besuchen um die Spielarten der neueren Firmwares kennen zu lernen...

Tausend Dank
COMCARGRU