Hallo @all,
ich habe einen 1821 am Start und würde gerne einen Webserver
ans Internet bringen.
Leider mache ich wohl etwas falsch, oder habe einen Denkfehler.
Ich habe folgendes eingestellt:
1. Eintrag Maskierung - Service Tabelle
Anf.Port 80, EndPort 80 - gemappt nach WEbserver Adresse (<WEB-IP> Port 80
2. Firewall Regeln
WEBSERVER_ALLOW TCP ANYHOST %S80,443,591,8008,8080 %D<WEB-IP> %Lcds0 %A %M %N No 255 Yes No Yes
"Linked NO"
3. Gem. Ref Handbuch habe ich eine explizite DENY_ALL Regel eingeführt
... gefällt mir ganz gut!
DENY_ALL ANY ANYHOST ANYHOST %Lcds0 %R %M %N No 0 Yes No
Jetzt zu meiner Frage:
Solange die DENY_ALL Regel aktiv ist - bekomme ich eine SNMP Message
"DENY_ALL ...Port 80 ... Paket zurückgewiesen".
Ich hatte gehofft mit der Prio 255 die Regel WEBSERVER_ALLOW
zuerst zu bedienen und damit die Regel DENY_ALL für diesen
einen WEB Server Zugang sozusagen zu überschreiben.
Wenn ich die DENY_ALL Regel abschalte - klappt es mit dem Zugang zum WEB Server. Nur ich möchte ja nicht das Scheunentor offen haben.
Also - wie kann ich eine explizite DENY_ALL Regel haben
und trotzdem einen Port durch Wand lassen???
Wo ist mein Denkfehler???
Bin für jeden Hinweis dankbar!!!
Gruesse
cmdriker
Webserver mit DynDns - Probleme mit Regeln
Moderator: Lancom-Systems Moderatoren
Hi cmdriker
Du kannst unter /Status/IP-router-statistics/Filter-list nachschauen, welche Filter generiert wurden...
Gruß
Backslash
Es muß %A<WEB-IP> heißen, da du ja eine IP-Adresse angibst und keinen per DHCP/DNS/NetBIOS aufgelösten Namen.2. Firewall Regeln
WEBSERVER_ALLOW TCP ANYHOST %S80,443,591,8008,8080 %D<WEB-IP> %Lcds0 %A %M %N No 255 Yes No Yes
"Linked NO"
Du kannst unter /Status/IP-router-statistics/Filter-list nachschauen, welche Filter generiert wurden...
Gruß
Backslash
Hi Backslash,
ganz heissen Dank für den Tipp - Volltreffer!
Ich hatte bei der Konfiguration nicht aufgepasst und Station
ausgewählt anstatt IP Adresse!
Ich dachte schon, dass hier grundsätzliche Dinge nicht sauber funktionieren!
Super - Danke nochmal!
Gruss
cmdriker
ganz heissen Dank für den Tipp - Volltreffer!
Es muß %A<WEB-IP> heißen, da du ja eine IP-Adresse angibst und keinen per DHCP/DNS/NetBIOS aufgelösten Namen.
Ich hatte bei der Konfiguration nicht aufgepasst und Station
ausgewählt anstatt IP Adresse!
Ich dachte schon, dass hier grundsätzliche Dinge nicht sauber funktionieren!

Super - Danke nochmal!
Gruss
cmdriker