Hallo,
ich blick so langsam nicht mehr durch! Ich habe einen 1721 mit folgender Grundkonfig:
LAN1: Intranet - ETH3
LAN2: DMZ - ETH1+2
DSL1: ETH4
ADSL: Internes Modem
Die erste Frage wäre jetzt ob ich bei der DMZ unter IP-Netzwerke ein Tag gesetzt werden muss um die DMZ vom LAN (insbesondere den Zugriff von der DMZ auf das LAN) zu trennen?
So nun habe ich für meine zwei Anschlüsse diverse routen angelegt um bestimmte Dienste über bestimmte Zugänge laufen zu lassen:
192.168.100.1 255.255.255.255 0 An, sticky für RIP UNITYMEDIA 0 An Kabelmodem
192.168.0.0 255.255.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus
172.16.0.0 255.240.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus
10.0.0.0 255.0.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus
224.0.0.0 224.0.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus
255.255.255.255 0.0.0.0 9 An, sticky für RIP T-ONLINE 0 An
255.255.255.255 0.0.0.0 5 An, sticky für RIP UNITYMEDIA 0 An
255.255.255.255 0.0.0.0 1 An, sticky für RIP LOADBALANCING 0 An
255.255.255.255 0.0.0.0 0 An, sticky für RIP UNITYMEDIA 0 An
Bestimmte Dienste möchte ich nun über bestimmte Routen laufen lassen. Zum Beispiel möchte ich Zugriffe auf T-Online Mail Server oder auch den Zugriff in die DMZ nur über T-Online laufen lassen:
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag
TAG-TO_POP.T-ONLINE.DE ANY LOCALNET %A194.25.134.10-194.25.134.250 ACCEPT ja 50 ja nein ja 9
TO_DMZ_HTTPS-EINGEHEND ANY T-ONLINE HTTPS %A10.0.0.11 ACCEPT nein 5 ja nein ja 9
Wenn ich nun ins Firewall Trace schaue wird die Regel zu den T-Online Servern nie ausgeführt, aber einfach über Tag 1 geroutet. Was läuft hier falsch?
[IP-Router] 2009/10/06 10:59:35,220
IP-Router Rx (T-ONLINE, RtgTag: 1):
DstIP: 10.0.0.11, SrcIP: 194.25.134.89, Len: 49, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3466, SrcPort: 110, Flags: PA
Seq: 1339230457, Ack: 2740760905, Win: 5840, Len: 9
Route: LAN-2 Tx (DMZ):
[IP-Router] 2009/10/06 10:59:35,250
IP-Router Rx (LAN-2, DMZ, RtgTag: 1):
DstIP: 194.25.134.89, SrcIP: 10.0.0.11, Len: 46, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 110, SrcPort: 3466, Flags: PA
Seq: 2740760905, Ack: 1339230466, Win: 65455, Len: 6
Route: WAN Tx (T-ONLINE)
Wenn ich in den FW Aktionen 'nur über Deault Route' markiere, nimmt er dann nur die Tag 0 DR oder alle unabhängig vom Tag?
Mail möchte ich über die Loadbalancing Route gehen lassen um auch Mails zu bekommen wenn mal ein Anbieter ausgefallen ist. Dazu habe ich folgende FW-regel erstellt:
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag
TAG-LB_MAIL ANY DMZ MAIL ANYHOST ACCEPT ja 50 ja nein ja 1
Allerdings bekomme ich im Trace folgendes angezeigt:
[Firewall] 2009/10/06 10:06:56,900
Packet matched rule TAG-LB_MAIL
DstIP: 212.227.15.162, SrcIP: 10.0.0.11, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 110, SrcPort: 2214, Flags: S
Seq: 1897637719, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: NOP
Option: SACK permitted
packet accepted
test next filter (linked rules)
[Firewall] 2009/10/06 10:06:56,900
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 212.227.15.162, SrcIP: 10.0.0.11, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 110, SrcPort: 2214, Flags: S
Seq: 1897637719, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: NOP
Option: SACK permitted
packet accepted
[IP-Router] 2009/10/06 10:06:56,900
IP-Router Rx (LAN-2, DMZ, RtgTag: 1):
DstIP: 212.227.15.162, SrcIP: 10.0.0.11, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 110, SrcPort: 2214, Flags: S
Seq: 1897637719, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: NOP
Option: SACK permitted
Route: WAN Tx (T-ONLINE)
[IP-Router] 2009/10/06 10:06:56,960
IP-Router Rx (T-ONLINE, RtgTag: 1):
DstIP: 10.0.0.11, SrcIP: 212.227.15.162, Len: 44, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 2214, SrcPort: 110, Flags: SA
Seq: 1165835898, Ack: 1897637720, Win: 5840, Len: 0
Option: Maximum segment size = 1452
Route: LAN-2 Tx (DMZ):
Demnach geht das ganze doch via T-Online und nicht via LOADBALANCING raus oder?
Fragen über Fragen. Ich hoffe jemand kann mir helfen und mich evt. auf den richtigen Weg bringen wie ich die Geschichte richtig und ordentlich angehe?
Danke, Pauli
Blick nicht mehr durch: DMZ, Tags und zwei Default Routen ..
Moderator: Lancom-Systems Moderatoren
Hi Pauli
Wenn Intranet und DMZ verschiedene Tags haben, dann darf die DMZ nicht mehr auf das Intranet zugreifen. Umgekehrt geht es dennoch - solnage die DMZ auch als soche gekennzeichnet ist.
Wenn du ohne Tags arbeitest, dann mußt du Intranet und DMZ über firewallregeln trennen...
bei der Regel TO_DMZ_HTTPS-EINGEHEND muß aber das Tag der DMZ stehen, nicht das der Gegenstelle - es sei denn, die DMZ hätte auch das Tag 9
Gruß
Backslash
Du *mußt* kein Tag setzen, es hilft aber ungemein...Die erste Frage wäre jetzt ob ich bei der DMZ unter IP-Netzwerke ein Tag gesetzt werden muss um die DMZ vom LAN (insbesondere den Zugriff von der DMZ auf das LAN) zu trennen?
Wenn Intranet und DMZ verschiedene Tags haben, dann darf die DMZ nicht mehr auf das Intranet zugreifen. Umgekehrt geht es dennoch - solnage die DMZ auch als soche gekennzeichnet ist.
Wenn du ohne Tags arbeitest, dann mußt du Intranet und DMZ über firewallregeln trennen...
die Regel TAG-TO_POP.T-ONLINE.DE ist OKBestimmte Dienste möchte ich nun über bestimmte Routen laufen lassen. Zum Beispiel möchte ich Zugriffe auf T-Online Mail Server oder auch den Zugriff in die DMZ nur über T-Online laufen lassen:
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag
TAG-TO_POP.T-ONLINE.DE ANY LOCALNET %A194.25.134.10-194.25.134.250 ACCEPT ja 50 ja nein ja 9
TO_DMZ_HTTPS-EINGEHEND ANY T-ONLINE HTTPS %A10.0.0.11 ACCEPT nein 5 ja nein ja 9
bei der Regel TO_DMZ_HTTPS-EINGEHEND muß aber das Tag der DMZ stehen, nicht das der Gegenstelle - es sei denn, die DMZ hätte auch das Tag 9
Hier ist der Anfang der TCP-Session wichtig, nicht was mittendrin passiert.Wenn ich nun ins Firewall Trace schaue wird die Regel zu den T-Online Servern nie ausgeführt, aber einfach über Tag 1 geroutet. Was läuft hier falsch?
[IP-Router] 2009/10/06 10:59:35,220
IP-Router Rx (T-ONLINE, RtgTag: 1):
DstIP: 10.0.0.11, SrcIP: 194.25.134.89, Len: 49, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3466, SrcPort: 110, Flags: PA
Seq: 1339230457, Ack: 2740760905, Win: 5840, Len: 9
Route: LAN-2 Tx (DMZ):
[IP-Router] 2009/10/06 10:59:35,250
IP-Router Rx (LAN-2, DMZ, RtgTag: 1):
DstIP: 194.25.134.89, SrcIP: 10.0.0.11, Len: 46, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 110, SrcPort: 3466, Flags: PA
Seq: 2740760905, Ack: 1339230466, Win: 65455, Len: 6
Route: WAN Tx (T-ONLINE)
jetzt weiss ich, wraum die T-Online-Regel das Tag nicht setzt... weil diese Regel hier früher matcht und somit auch das Tag bestimmt...Mail möchte ich über die Loadbalancing Route gehen lassen um auch Mails zu bekommen wenn mal ein Anbieter ausgefallen ist. Dazu habe ich folgende FW-regel erstellt:
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag
TAG-LB_MAIL ANY DMZ MAIL ANYHOST ACCEPT ja 50 ja nein ja 1
Die Firewall sich einen Kanal des Loadbalancers heraus, über den dann die Sessin abgewickelt wird. Hier ist des wohl der Kanal T-ONLINE.Demnach geht das ganze doch via T-Online und nicht via LOADBALANCING raus oder?
Gruß
Backslash
Hallo Backslash,
als erstes vielen Dank für Deine immer extrem kompetente Hilfe - ich hoffe ich kann mit Deiner Hilfe licht ins dunkel bringen. Hast Du eigentlich ein Spendenkonto?
Okay ich setze nun für die DMZ ein Tag, welches ich noch nicht für die verschiedenen Verbindungen / Routen benutze (99)?
Dann muss ich in die DMZ Eingangsregeln z.B. Regel TO_DMZ_HTTPS-EINGEHEND auch das Tag 99 eintragen und woher weiß der Lancom nun das dies nur über die Verbindung T-ONLINE mit dem Tag 9 gehen soll und auch nur über diesen Anschluss rein gehen soll? Muss ich das noch irgendwo konfigurieren?
Wenn ich das so mache bekomme ich folgendes:
[Firewall] 2009/10/06 13:12:51,360
Packet matched rule intruder detection
DstIP: 10.0.0.11, SrcIP: 217.19.187.xxx, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 38384, Flags: S
Seq: 4276361337, Ack: 0, Win: 5840, Len: 0
Option: Maximum segment size = 1452
Option: SACK permitted
Option: 08 = d6 c8 d0 d6 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
Filter info: packet received from invalid interface T-ONLINE
send SNMP trap
packet dropped
Den Rest hier blicke ich auch noch nicht ganz, aber eins nach dem anderen ...
Danke, Pauli
als erstes vielen Dank für Deine immer extrem kompetente Hilfe - ich hoffe ich kann mit Deiner Hilfe licht ins dunkel bringen. Hast Du eigentlich ein Spendenkonto?
Okay ich setze nun für die DMZ ein Tag, welches ich noch nicht für die verschiedenen Verbindungen / Routen benutze (99)?
Dann muss ich in die DMZ Eingangsregeln z.B. Regel TO_DMZ_HTTPS-EINGEHEND auch das Tag 99 eintragen und woher weiß der Lancom nun das dies nur über die Verbindung T-ONLINE mit dem Tag 9 gehen soll und auch nur über diesen Anschluss rein gehen soll? Muss ich das noch irgendwo konfigurieren?
Wenn ich das so mache bekomme ich folgendes:
[Firewall] 2009/10/06 13:12:51,360
Packet matched rule intruder detection
DstIP: 10.0.0.11, SrcIP: 217.19.187.xxx, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 38384, Flags: S
Seq: 4276361337, Ack: 0, Win: 5840, Len: 0
Option: Maximum segment size = 1452
Option: SACK permitted
Option: 08 = d6 c8 d0 d6 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
Filter info: packet received from invalid interface T-ONLINE
send SNMP trap
packet dropped
Den Rest hier blicke ich auch noch nicht ganz, aber eins nach dem anderen ...
Danke, Pauli
Hi Pauli
Gruß
Backslash
ja.Okay ich setze nun für die DMZ ein Tag, welches ich noch nicht für die verschiedenen Verbindungen / Routen benutze (99)?
genauDann muss ich in die DMZ Eingangsregeln z.B. Regel TO_DMZ_HTTPS-EINGEHEND auch das Tag 99 eintragen
die Firewall ist "stateful", d.h. das erste Paket einer Session entscheidet darüber, wei alle nachfolgenden Pakete behandelt werden müssen. Wenn das erste Paket über T-ONLINE reinkommt, dann werden auch alle Antwortpakete nach T-Online gesendetund woher weiß der Lancom nun das dies nur über die Verbindung T-ONLINE mit dem Tag 9 gehen soll
über das Quell-Objekt "T-ONLINE", daß du hoffentlich als "Gegenstelle T-ONLINE" definiert hastund auch nur über diesen Anschluss rein gehen soll?
Das sollte eigentlich nicht passieren... Da gibt es wohl noch ein Firmware-Problem. Nur um sicher zugehen: Funktioniert es denn, wenn du die DMZ mit 9 taggst und der TO_DMZ_HTTPS-EINGEHEND Regel auch das Tag 9 gibst?Wenn ich das so mache bekomme ich folgendes:
[Firewall] 2009/10/06 13:12:51,360
Packet matched rule intruder detection
DstIP: 10.0.0.11, SrcIP: 217.19.187.xxx, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 38384, Flags: S
Seq: 4276361337, Ack: 0, Win: 5840, Len: 0
Option: Maximum segment size = 1452
Option: SACK permitted
Option: 08 = d6 c8 d0 d6 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
Filter info: packet received from invalid interface T-ONLINE
send SNMP trap
packet dropped
Gruß
Backslash
Ja wenn ich alles mit 9 tage (DMZ, FW Regel und Routing über T-ONLINE) funktioniert komme ich zumindest wieder via HTTPS rein.
Die FW-Regel wird jedoch nicht abgearbeitet:
[Firewall] 2009/10/06 14:37:29,880
Packet matched rule TO_DMZ_HTTPS-EINGEHEND
DstIP: 10.0.0.11, SrcIP: 217.19.187.xxx, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 57791, Flags: S
Seq: 1053084114, Ack: 0, Win: 5840, Len: 0
Option: Maximum segment size = 1452
Option: SACK permitted
Option: 08 = d6 dc 2f d7 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
test next filter (no matching condition)
Gegenstelle T-ONLINE ist definiert via ADSL!
Gruß, Pauli
Die FW-Regel wird jedoch nicht abgearbeitet:
[Firewall] 2009/10/06 14:37:29,880
Packet matched rule TO_DMZ_HTTPS-EINGEHEND
DstIP: 10.0.0.11, SrcIP: 217.19.187.xxx, Len: 60, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 57791, Flags: S
Seq: 1053084114, Ack: 0, Win: 5840, Len: 0
Option: Maximum segment size = 1452
Option: SACK permitted
Option: 08 = d6 dc 2f d7 00 00 00 00
Option: NOP
Option: Window scale = 7 (multiply by 128)
test next filter (no matching condition)
Gegenstelle T-ONLINE ist definiert via ADSL!
Gruß, Pauli
Also wenn ich diese Regel mit ACCEPT_INTERNET (Default Route) anlege kommt, die Meldung von oben. Mache ich nur ACCEPT erscheint nie ein Trace für diese Regel, aber der Zugriff funktioniert.
Filter 0021 from Rule TO_DMZ_HTTPS-EINGEHEND:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0 (WAN ifc T-ONLINE)
Dst: 00:00:00:00:00:00 10.0.0.11 255.255.255.255 443-443
use routing tag 0009
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Das komische ist, dass einige Regeln nie im Trace erscheinen:
Filter 0007 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80
use routing tag 0005
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Diese Regel soll das Surfen immer über den Anbieter Unitymedia führen (Tag 5), aber diese Regel erscheint nie.
Danke, Pauli
Filter 0021 from Rule TO_DMZ_HTTPS-EINGEHEND:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0 (WAN ifc T-ONLINE)
Dst: 00:00:00:00:00:00 10.0.0.11 255.255.255.255 443-443
use routing tag 0009
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Das komische ist, dass einige Regeln nie im Trace erscheinen:
Filter 0007 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80
use routing tag 0005
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Diese Regel soll das Surfen immer über den Anbieter Unitymedia führen (Tag 5), aber diese Regel erscheint nie.
Danke, Pauli
Hi Pauli
Gruß
Backslash
das ist erstaunlich, weil T-ONLINE je eigentlich eine Default-Route ist - wenn auch "nur" eine getaggte... Aber ein Fehler ist ja nicht unmöglich.Also wenn ich diese Regel mit ACCEPT_INTERNET (Default Route) anlege kommt, die Meldung von oben.
Im Firewall-Trace tauchen Ereignisse nur auf, wenn ein Paket verworfen wird oder die erste gefundene Regel nicht matcht. Wenn du im Trace sehen willst, ob eine ACCEPT-Regel matcht, dann muß die Regel zusätzlich noch eine Log-Aktion ativ habenMache ich nur ACCEPT erscheint nie ein Trace für diese Regel, aber der Zugriff funktioniert.
Gruß
Backslash
So die meisten Einträge passen nun und ich sehe sie auch. Offensichtlich gibt es Probleme mit dem 'nur über Default Route' in den Aktionen. Ich habe nun den Eintrag raus genommen und entsprechend alle Gegenstellen eingetragen!
Komisch ist nur z.B., dass diese Regel nicht passt:
Filter 0007 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc T-ONLINE)
use routing tag 0005
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
[Firewall] 2009/10/06 16:19:54,070
Packet matched rule TAG-UM_HMTL
DstIP: 195.140.186.102, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2531, Flags: S
Seq: 2425698628, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
test next filter (no matching route)
Was bedeutet no matching route? Un wie gesagt passt mein Tagging nun, da die Geschichte mit 99 gar nicht geht?
Tausend Dank, Pauli
Komisch ist nur z.B., dass diese Regel nicht passt:
Filter 0007 from Rule TAG-UM_HMTL:
Protocol: 6
Src: 00:00:00:00:00:00 192.168.168.0 255.255.255.0 0-0 (LAN ifc INTRANET)
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 80-80 (WAN ifc T-ONLINE)
use routing tag 0005
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
[Firewall] 2009/10/06 16:19:54,070
Packet matched rule TAG-UM_HMTL
DstIP: 195.140.186.102, SrcIP: 192.168.168.100, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 80, SrcPort: 2531, Flags: S
Seq: 2425698628, Ack: 0, Win: 65535, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: Window scale = 1 (multiply by 2)
Option: NOP
Option: NOP
Option: 08 = 00 00 00 00 00 00 00 00
Option: NOP
Option: NOP
Option: SACK permitted
test next filter (no matching route)
Was bedeutet no matching route? Un wie gesagt passt mein Tagging nun, da die Geschichte mit 99 gar nicht geht?
Tausend Dank, Pauli
Hi Pauli
Wenn aber auch über die andere Gegenstelle zugegriffen werden soll, dann mußt du sie erstmal ungetaggt lassen und den Zugriff von der DMZ ins Intranet über die Firewall abblocken:
Gruß
Backslash
solange nur über T-Online auf die DMZ zugefriffen werden soll kannst du sie erstmal mit 9 taggen...Wie soll ich die Geschichte mit dem DMZ Tag nun am besten umsetzen?
Wenn aber auch über die andere Gegenstelle zugegriffen werden soll, dann mußt du sie erstmal ungetaggt lassen und den Zugriff von der DMZ ins Intranet über die Firewall abblocken:
Code: Alles auswählen
Aktion: zurückweisen
Quelle: IP-Netzwerk: DMZ-Netz
Ziel: IP-Netzwerk: Alle lokalen Netze (oder Objekt: LOCALNET)
Dienste: alle DiensteGruß
Backslash
Nun da ich dank Deiner Hilfe nicht mehr komplett an mir zweifele bin ich der Meinung es gibt noch ein paar mehr Bugs:
Folgende Regel gibt es:
Filter 0022 from Rule TO_INTRANET_RA-EINGEHEND:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0 (WAN ifc T-ONLINE)
Dst: 00:00:00:00:00:00 192.168.168.100 255.255.255.255 2000-2000
use routing tag 0005
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Die Regel zieht nie und der Verbindungsversuch wird wie folgt durch die DENY Regel abgelehnt:
[Firewall] 2009/10/06 18:13:02,550
Packet matched rule INTRANET_DENYALL-EINGEHEND
DstIP: 192.168.168.100, SrcIP: 95.223.194.xxx, Len: 48, DSCP/TOS: 0x03
Prot.: TCP (6), DstPort: 2000, SrcPort: 60255, Flags: S
Seq: 106620468, Ack: 0, Win: 16384, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: SACK permitted
send SNMP trap
send email to administrator
send SNMP trap
send email to administrator
packet dropped
Nehme ich den Port in der Regel weg (Port ist aber 2000), dann klappt es auch mit dieser Regel:
[Firewall] 2009/10/06 18:15:10,060
Packet matched rule TO_INTRANET_RA-EINGEHEND
DstIP: 192.168.168.100, SrcIP: 95.223.194.xxx, Len: 48, DSCP/TOS: 0x03
Prot.: TCP (6), DstPort: 2000, SrcPort: 60241, Flags: S
Seq: 3393621693, Ack: 0, Win: 16384, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: SACK permitted
send syslog message
packet accepted
Da stimmt doch etwas nicht oder?
Danke Steffen
Folgende Regel gibt es:
Filter 0022 from Rule TO_INTRANET_RA-EINGEHEND:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0 (WAN ifc T-ONLINE)
Dst: 00:00:00:00:00:00 192.168.168.100 255.255.255.255 2000-2000
use routing tag 0005
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Die Regel zieht nie und der Verbindungsversuch wird wie folgt durch die DENY Regel abgelehnt:
[Firewall] 2009/10/06 18:13:02,550
Packet matched rule INTRANET_DENYALL-EINGEHEND
DstIP: 192.168.168.100, SrcIP: 95.223.194.xxx, Len: 48, DSCP/TOS: 0x03
Prot.: TCP (6), DstPort: 2000, SrcPort: 60255, Flags: S
Seq: 106620468, Ack: 0, Win: 16384, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: SACK permitted
send SNMP trap
send email to administrator
send SNMP trap
send email to administrator
packet dropped
Nehme ich den Port in der Regel weg (Port ist aber 2000), dann klappt es auch mit dieser Regel:
[Firewall] 2009/10/06 18:15:10,060
Packet matched rule TO_INTRANET_RA-EINGEHEND
DstIP: 192.168.168.100, SrcIP: 95.223.194.xxx, Len: 48, DSCP/TOS: 0x03
Prot.: TCP (6), DstPort: 2000, SrcPort: 60241, Flags: S
Seq: 3393621693, Ack: 0, Win: 16384, Len: 0
Option: Maximum segment size = 1452
Option: NOP
Option: NOP
Option: SACK permitted
send syslog message
packet accepted
Da stimmt doch etwas nicht oder?
Danke Steffen
Hi Backslash.
Ich habe die Regeln sogar mit Prios versehen und die DENY-Regel hat die 0. Somit sollte es keine Probleme mit der Reihenfolge geben. Die Regel funktioniert ja auch wenn ich wie oben beschrieben den Port raus nehme. Das kann doch nicht sein oder?
Genauso seltsam ist die Geschichte mit der TAG-UM_HMTL Regel (siehe oben) die Matched auch nie mit dem Hinweis 'no matching route'. Ich habe im Prinzip ähnlich Regeln für andere Dienste, die ich auf eine andere Verbindung tage und da funktioniert es einwandfrei. Fällt dir dazu etwas ein?
Soll ich mal meine SHOW FILTER posten? Vielleicht erkennet Du etwas was ich übersehe.
Danke, Pauli
Ich habe die Regeln sogar mit Prios versehen und die DENY-Regel hat die 0. Somit sollte es keine Probleme mit der Reihenfolge geben. Die Regel funktioniert ja auch wenn ich wie oben beschrieben den Port raus nehme. Das kann doch nicht sein oder?
Genauso seltsam ist die Geschichte mit der TAG-UM_HMTL Regel (siehe oben) die Matched auch nie mit dem Hinweis 'no matching route'. Ich habe im Prinzip ähnlich Regeln für andere Dienste, die ich auf eine andere Verbindung tage und da funktioniert es einwandfrei. Fällt dir dazu etwas ein?
Soll ich mal meine SHOW FILTER posten? Vielleicht erkennet Du etwas was ich übersehe.
Danke, Pauli