Beim Updaten auf LCOS 7.6 bzw. 7.7 wurden automatische Einträge in den Firewall-Regeln vorgenommen. Beispiel für IMAP: Hier wurde früher unter Dienste, Liste Protokolle/Ziel-Dienste, Dienste/Protokolle als IP-Protokoll TCP und bei den Ports 143 eingetragen. Jetzt gibt es in der Liste der Protokolle/Ziel-Dienste einen zusätzlichen Eintrag "TCP" (siehe Bild 1). Das Protokoll TCP wird doppelt genannt. Nach Editieren über die Web-GUI verschwindet dann beim Port 143 die Nennung von TCP (siehe Bild 2).
Bislang bin ich davon ausgegangen, dass die in der Liste "Protokolle/Ziel-Dienste" vorgenommenen Einträge "oder"-verknüpft werden, oder gilt hier doch eine "und"-verknüpfung?
Oder läuft hier generell etwas schief?
Wie muss eine Freigabe für IMAP (Port 143) richtig vorgenommen werden?
Verwirrung mit Diensten und Protokollen bei LCOS 7.6 ff.
Moderator: Lancom-Systems Moderatoren
Verwirrung mit Diensten und Protokollen bei LCOS 7.6 ff.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Hi Hagen2000
Gruß
Backslash
bestimmt nicht... das wurde beim Übergang von der 7.5x auf die 7.60 gemacht...Beim Updaten auf LCOS 7.6 bzw. 7.7 wurden automatische Einträge in den Firewall-Regeln vorgenommen.
das ist der "objektorientierten Firewall" Konfiguration geschuldet und auch nicht neu in der 7.70 - das gibt es seit der 7.60.Hier wurde früher unter Dienste, Liste Protokolle/Ziel-Dienste, Dienste/Protokolle als IP-Protokoll TCP und bei den Ports 143 eingetragen. Jetzt gibt es in der Liste der Protokolle/Ziel-Dienste einen zusätzlichen Eintrag "TCP" (siehe Bild 1).
du meinst: nach Editieren mit LANconfig... Die WEBconfig bietet wie früher auch, für die Firewall nur die 1:1-Abbildung des CLI... LANconfig minimiert die Einträge und damit fällt das doppelte TCP halt raus...Das Protokoll TCP wird doppelt genannt. Nach Editieren über die Web-GUI verschwindet dann beim Port 143 die Nennung von TCP (siehe Bild 2).
Genaugenommen wir die Vereinigungsmenge aus Protokollen und Ports gebildet, d.h. Wenn du ein Objekt "UDP Port 53" und ein Objekt "TCP Port 23" gemeinsam in einer Regel verwendest, dann werden Filter für die UDP- und TCP-Ports 23 und 53 angelegt. Das war vor der objektorientierten GUI auch sinnvoll, sorgt nun aber gelegentlich für Verwirrung - weil es eben keine UND-Verknüpfung ist, obwohl es durch die Objekte sugeriert wirdBislang bin ich davon ausgegangen, dass die in der Liste "Protokolle/Ziel-Dienste" vorgenommenen Einträge "oder"-verknüpft werden, oder gilt hier doch eine "und"-verknüpfung?
Gruß
Backslash
Hallo backslash,
vielen Dank für die Erläuterungen!
Bzgl. der genauen Versionsnummer, ab der dieser Effekt eintrat, war ich mir nicht mehr sicher, daher hatte ich Beim Updaten auf LCOS 7.6 bzw. 7.7 geschrieben... Hatte schon vermutet, dass es ab 7.6 so war, ist mir aber erst jetzt aufgefallen und jetzt läuft eben schon 7.7.
Nochmal zur Klarstellung, greife ich dein Beispiel auf:
Wenn ich in einer Regel UDP Port 53 und TCP Port 23 freischalte, so werden in Wirklichkeit folgende Ports durchgelassen: UDP 23 und UDP 53 und TCP 23 und TCP 53 - richtig?
Wenn ich wirklich nur genau UDP Port 53 und TCP Port 23 freischalten will, so muss ich zwei separate Regeln definieren - richtig?
Mit "Vereinigungsmenge" - im Unterschied zu einer UND-Verknüpfung - ist also gemeint, dass die Protokolle miteinander UND-verknüpft werden und die Port-Nummern miteinander UND-verknüpft werden (sowie ggf. weitere Parameter innherhalb ihrer Klasse UND-verknüpft werden) - richtig?
Ich meine übrigens schon die Web-GUI, da nämlich der Inhalt von Bild 1 (siehe mein erster Post) in der Web-GUI wie im Bild 3 gezeigt aussieht. Korrigiert man nun hier das doppelte "TCP", kommt es zu dem von mir beschriebenen Effekt.
LANconfig (V7.70.0007 RC2) beseitigt gerade nicht diesen Doppler, sondern erzeugt ihn!
vielen Dank für die Erläuterungen!
Bzgl. der genauen Versionsnummer, ab der dieser Effekt eintrat, war ich mir nicht mehr sicher, daher hatte ich Beim Updaten auf LCOS 7.6 bzw. 7.7 geschrieben... Hatte schon vermutet, dass es ab 7.6 so war, ist mir aber erst jetzt aufgefallen und jetzt läuft eben schon 7.7.
Nochmal zur Klarstellung, greife ich dein Beispiel auf:
Wenn ich in einer Regel UDP Port 53 und TCP Port 23 freischalte, so werden in Wirklichkeit folgende Ports durchgelassen: UDP 23 und UDP 53 und TCP 23 und TCP 53 - richtig?
Wenn ich wirklich nur genau UDP Port 53 und TCP Port 23 freischalten will, so muss ich zwei separate Regeln definieren - richtig?
Mit "Vereinigungsmenge" - im Unterschied zu einer UND-Verknüpfung - ist also gemeint, dass die Protokolle miteinander UND-verknüpft werden und die Port-Nummern miteinander UND-verknüpft werden (sowie ggf. weitere Parameter innherhalb ihrer Klasse UND-verknüpft werden) - richtig?
Ich meine übrigens schon die Web-GUI, da nämlich der Inhalt von Bild 1 (siehe mein erster Post) in der Web-GUI wie im Bild 3 gezeigt aussieht. Korrigiert man nun hier das doppelte "TCP", kommt es zu dem von mir beschriebenen Effekt.
LANconfig (V7.70.0007 RC2) beseitigt gerade nicht diesen Doppler, sondern erzeugt ihn!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Hi Hagen2000
Lösche einfach ein TCP aus der Protokoll-Zeile...
Gruß
Backslash
richtigWenn ich in einer Regel UDP Port 53 und TCP Port 23 freischalte, so werden in Wirklichkeit folgende Ports durchgelassen: UDP 23 und UDP 53 und TCP 23 und TCP 53 - richtig?
richtigWenn ich wirklich nur genau UDP Port 53 und TCP Port 23 freischalten will, so muss ich zwei separate Regeln definieren - richtig?
nein, sie werden ODER verknüpft - siehe das Beispiel mit UDP 53 und TCP 23. Die Mengenlehre besagt, daß die Vereinigungsmenge alle Elemente der Ausgangsmengen enthält - und das ist eine ODER-Verknüpfung. siehe hierzu auch http://de.wikipedia.org/wiki/Mengenlehr ... gungsmengeMit "Vereinigungsmenge" - im Unterschied zu einer UND-Verknüpfung - ist also gemeint, dass die Protokolle miteinander UND-verknüpft werden und die Port-Nummern miteinander UND-verknüpft werden (sowie ggf. weitere Parameter innherhalb ihrer Klasse UND-verknüpft werden) - richtig?
ich sag's mal so: Um derartige Verwirrungen zu vermeiden, erstellt man die Firewallregeln am besten entweder nur mit LANconfig oder nur mit der WEBconfig. Spätestens wenn LANconfig die Hand an mit der WEBconfig manuell erstellte Regeln legt, dann baut LANconfig sie nach seinen Vorlieben um, denn es will am liebsten Objekte verwenden...Ich meine übrigens schon die Web-GUI, da nämlich der Inhalt von Bild 1 (siehe mein erster Post) in der Web-GUI wie im Bild 3 gezeigt aussieht. Korrigiert man nun hier das doppelte "TCP", kommt es zu dem von mir beschriebenen Effekt.
LANconfig (V7.70.0007 RC2) beseitigt gerade nicht diesen Doppler, sondern erzeugt ihn!
Lösche einfach ein TCP aus der Protokoll-Zeile...
Gruß
Backslash
Hallo backslash,
peinlich, peinlich, natürlich muss es ODER heißen
Hier noch einmal die korrekt formulierte Frage:
Mit "Vereinigungsmenge" ist also gemeint, dass die Protokolle miteinander ODER-verknüpft werden und die Port-Nummern miteinander ODER-verknüpft werden (sowie ggf. weitere Parameter innherhalb ihrer Klasse ODER-verknüpft werden) - richtig?
Man könnte es sonst ja auch so verstehen, dass "TCP ODER Port 53" gemeint ist, was dann so interpretiert werden könnte, dass sämtliche TCP-Anfragen durchgelassen werden. Auf diesen Unterschied wollte ich mit meiner Frage hinaus.
peinlich, peinlich, natürlich muss es ODER heißen
Hier noch einmal die korrekt formulierte Frage:
Mit "Vereinigungsmenge" ist also gemeint, dass die Protokolle miteinander ODER-verknüpft werden und die Port-Nummern miteinander ODER-verknüpft werden (sowie ggf. weitere Parameter innherhalb ihrer Klasse ODER-verknüpft werden) - richtig?
Man könnte es sonst ja auch so verstehen, dass "TCP ODER Port 53" gemeint ist, was dann so interpretiert werden könnte, dass sämtliche TCP-Anfragen durchgelassen werden. Auf diesen Unterschied wollte ich mit meiner Frage hinaus.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Hi Hagen2000
Wenn in einer Regel ein einfaches TCP ohne irgeneine Portangabe steht, dann heißt das natürlich wirklich, daß alle TCP-Ports erlaubt sind...
Es ist also nicht so schlimm, wie du befürchtest...
Gruß
Backslash
nein... Es werden sowohl Protokolle als auch Ports ODER verknüpft und beides zusammen UND, d.h. UDP Port 53 und TCP Port 23 zusammen in einer Regel bedeutet (TCP oder UDP) UND (Port 53 ODER Port 23)Mit "Vereinigungsmenge" ist also gemeint, dass die Protokolle miteinander ODER-verknüpft werden und die Port-Nummern miteinander ODER-verknüpft werden (sowie ggf. weitere Parameter innherhalb ihrer Klasse ODER-verknüpft werden) - richtig?
Man könnte es sonst ja auch so verstehen, dass "TCP ODER Port 53" gemeint ist, was dann so interpretiert werden könnte, dass sämtliche TCP-Anfragen durchgelassen werden. Auf diesen Unterschied wollte ich mit meiner Frage hinaus.
Wenn in einer Regel ein einfaches TCP ohne irgeneine Portangabe steht, dann heißt das natürlich wirklich, daß alle TCP-Ports erlaubt sind...
Es ist also nicht so schlimm, wie du befürchtest...
Gruß
Backslash