Hallo,
nachdem wir vom IPCop auf einen Lancom 1721+ umgestiegen sind klappt alles soweit Super. Lediglich nachdem ich Firewall Regeln, laut Lancom Knowlegde Base gesetzt habe Deny_all und danach Allow_xxxxx kann ich unseren exchange nicht mehr erreichen. Der https Aufruf von Exchange Web Access klappt nicht mehr.... Zuvor kam immer Laden der Seite fortsetzen oder unter firefox ausnahmen regel hinzufügen, zertifikat laden und man war auf der OWA site drauf.... Der Teufel liegt wahrscheinlich im Detail. Leider finde ich noch nicht.... Danke für Hilfe im vorraus.
Firewall Regeln laut LC deny_all und allow_ gesetzt
Moderator: Lancom-Systems Moderatoren
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Klingt einfach verkehrt gelöst.
Entweder machst du "allow,deny all" oder "deny, allow all"
Wenn du "alles verbietest" und dann erst etwas erlaubst, dann kommt die "erlaube-regel" nie zum zug, weil vorher schon alles verboten wurde.
Die Logik sieht so aus:
1. Erlaube HTTP Zugriff über Port 80
2. Erlaube HTTPS Zugriff über Port 443
3. Erlaube SMTP Zugriff auf Port 25
4. usw
{alles was bis jetzt erlaubt wurde, kommt wenn es zutrifft (filtertechnisch gesehen) zur anwendung, wenn eine Regel zutriff, wird der Ablauf normal beendet und es kommt keine weitere Regel mehr zum Zug. WICHTIG: Theoretisch würde jetzt noch immer alles erlaubt sein, auch das wofür keine Regel besteht, weil ja nichts verboten ist. Daher kommt abschließend immer ganz unten:}
5. Verbiete Alles (Deny All)
Es geht aber auch so:
1. Verbiete Port 2000 - 66000
2. Erlaube alles (Was aber imho unnötig zu definieren ist)
Je nachdem ob du mehr verbieten oder mehr erlauben musst, wählst du die Methode (allow, deny oder umgekehrt)
Ich hoffe geholfen zu haben!
lg
Entweder machst du "allow,deny all" oder "deny, allow all"
Wenn du "alles verbietest" und dann erst etwas erlaubst, dann kommt die "erlaube-regel" nie zum zug, weil vorher schon alles verboten wurde.
Die Logik sieht so aus:
1. Erlaube HTTP Zugriff über Port 80
2. Erlaube HTTPS Zugriff über Port 443
3. Erlaube SMTP Zugriff auf Port 25
4. usw
{alles was bis jetzt erlaubt wurde, kommt wenn es zutrifft (filtertechnisch gesehen) zur anwendung, wenn eine Regel zutriff, wird der Ablauf normal beendet und es kommt keine weitere Regel mehr zum Zug. WICHTIG: Theoretisch würde jetzt noch immer alles erlaubt sein, auch das wofür keine Regel besteht, weil ja nichts verboten ist. Daher kommt abschließend immer ganz unten:}
5. Verbiete Alles (Deny All)
Es geht aber auch so:
1. Verbiete Port 2000 - 66000
2. Erlaube alles (Was aber imho unnötig zu definieren ist)
Je nachdem ob du mehr verbieten oder mehr erlauben musst, wählst du die Methode (allow, deny oder umgekehrt)
Ich hoffe geholfen zu haben!
lg
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi, danke für die Tipps. Ich habe die Regeln der Knowledge Base Lancom entnommen und andere nach diesem Muster hinzugefügt. Ich bin in Sachen Firewall regeln selbst definieren am LC neu!!
Habe eine Datei angehangen wo drinne steht das eine Regel nicht funktioniert. Die Regel ALLOW_STREAMING und ALLOW_CTI .Ideen??
vielen vielen dank nochmals
raphael
Habe eine Datei angehangen wo drinne steht das eine Regel nicht funktioniert. Die Regel ALLOW_STREAMING und ALLOW_CTI .Ideen??
vielen vielen dank nochmals
raphael
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
was dir fehlt sind die prioritäten =)
stellt dir das wie Ebenen oder Level vor:
Zuerst wird die Regel am höchsten Level angewendet, wenn diese nicht zutrifft gehts zum nächst niedrigen Level.
Deine Regeln sind alle auf Level 0, sie sind also alle gleich wichtig.
Die Deny Regel soll auf Level 0 bleiben. Die anderen sollen höhere Werte bekommen in der Reihenfolge in der sie angewendet werden sollen. (von oben nach unten)
stellt dir das wie Ebenen oder Level vor:
Zuerst wird die Regel am höchsten Level angewendet, wenn diese nicht zutrifft gehts zum nächst niedrigen Level.
Deine Regeln sind alle auf Level 0, sie sind also alle gleich wichtig.
Die Deny Regel soll auf Level 0 bleiben. Die anderen sollen höhere Werte bekommen in der Reihenfolge in der sie angewendet werden sollen. (von oben nach unten)
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Hi die_peitsche
Gruß
Backslash
du meinst jetzt von x.x.77.200 nach x.x.77.150? Das muß sofort funktionieren, denn da ist das LANCOM gar nicht dran beteiligt, weil die Adressen ja im selben Netz liegen - zumindest solange sich auf x.x.77.150 auch ein Empänger für den Stream befindet und das Ganze nicht durch eine personal Firewall auf einem der beiden Rechner blockiert wirdVon client .77.150 nach 77.200?? Von 77.150 ins Internet klappt mit der streaming Regel.
Gruß
Backslash
Moinsen,
also das mit den Prioritäten ist doch völlig egal, solange innerhalb der Regeln hier keine Abhängigkeiten bestehen, kann alles auf 0 bleiben - die Sortierung sieht man doch, weil eben diese immer dargestellt wird! (Zu meinem Leidwesen
).
Aber ich frag mal so: Habt ihr öffentliche IPs und eine ordentliche DMZ, oder steht der Server im LAN mit private IP? Dann könnte hier nämlich noch ein forwarding im Router fehlen und der Exchange ist deswegen nicht erreichbar...
Gruß
COMCARGRU
also das mit den Prioritäten ist doch völlig egal, solange innerhalb der Regeln hier keine Abhängigkeiten bestehen, kann alles auf 0 bleiben - die Sortierung sieht man doch, weil eben diese immer dargestellt wird! (Zu meinem Leidwesen
).Aber ich frag mal so: Habt ihr öffentliche IPs und eine ordentliche DMZ, oder steht der Server im LAN mit private IP? Dann könnte hier nämlich noch ein forwarding im Router fehlen und der Exchange ist deswegen nicht erreichbar...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Die Regel Allow_VPN_Routing ist doch auch falsch! Da steht doch: Erlaube alles von alles an alles? Was für einen Sinn soll dann noch die Deny_All machen, wenn ich vorher eine Allow_All setze?
Die Regel ist doch durch die Allow_IPSEC schon vorhanden??? Und auch diese ist Buggy, falls sie den VPN Zugriff von Innen nach Aussen erlauben soll???
Verwirrt...
COMCARGRU
Die Regel ist doch durch die Allow_IPSEC schon vorhanden??? Und auch diese ist Buggy, falls sie den VPN Zugriff von Innen nach Aussen erlauben soll???
Verwirrt...
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
Stimmt @backslash. Da muss unser webenwickler mit seinem Flash streaming server noch dran....
Die Allow_Vpn und ipsec sind komplett standrad von lancom übernommen. Ich Arbeite zum ersten mal mit einem Lancom Router und Firewall Regeln. Sicherlich mache und werde wohl noch hier und da Fehler produzieren... Deswegen wende ich mich an das Forum.
Ähm mal was anderes ich komme auf unseren Lancom Router in Bulgarien über das Kunden VPN Netzwerk rein. Mein LC1721+ dort hat zwei einfache dhcp Netzevon uns, eine IP fürs Kunden VPN und leitet alles an den Kunden Router. Kein Internet für alle. Ich erreiche meinen LC über das vpn. Sobald eingeloggt können wir via ssh auf unsere Linuxe zugreifen. Was muss ich konfigurieren damit ich auch sobald mit Bulgarien via VPN verbunden um auf bestimmte Windows Maschinen via RDP zu kommen? Der Lancom hat .28.7.x; 29.6.x; .15.x(VPN) Netze angelegt. Firewall aus. Alle Netze senden deren anfragen an einen Router des Kunden, wie vom diesem gewünscht.
Vielen dank im vorraus!!
Raphael
P.S.: Exchange wird wieder erreicht! er nutzt ja den SSL 443 und wir haben den aufm LC geändert. Somit ist hier alles klar.
Die Allow_Vpn und ipsec sind komplett standrad von lancom übernommen. Ich Arbeite zum ersten mal mit einem Lancom Router und Firewall Regeln. Sicherlich mache und werde wohl noch hier und da Fehler produzieren... Deswegen wende ich mich an das Forum.
Ähm mal was anderes ich komme auf unseren Lancom Router in Bulgarien über das Kunden VPN Netzwerk rein. Mein LC1721+ dort hat zwei einfache dhcp Netzevon uns, eine IP fürs Kunden VPN und leitet alles an den Kunden Router. Kein Internet für alle. Ich erreiche meinen LC über das vpn. Sobald eingeloggt können wir via ssh auf unsere Linuxe zugreifen. Was muss ich konfigurieren damit ich auch sobald mit Bulgarien via VPN verbunden um auf bestimmte Windows Maschinen via RDP zu kommen? Der Lancom hat .28.7.x; 29.6.x; .15.x(VPN) Netze angelegt. Firewall aus. Alle Netze senden deren anfragen an einen Router des Kunden, wie vom diesem gewünscht.
Vielen dank im vorraus!!
Raphael
P.S.: Exchange wird wieder erreicht! er nutzt ja den SSL 443 und wir haben den aufm LC geändert. Somit ist hier alles klar.
Hi,
ich habe es mal geprüft, die Lancom Regeln sind Richtig, deine nicht! Denn dann müßte dort stehen:"Bedingt übertragen" und die Bedingung ist das es eine VPN Route ist. Außerdem weist Lancom in dem Script, die Prio 1 zu bei dir ist es Prio 0!
Du hast die Regel abgeändert und zwar so, das es jetzt eine Allow All geworden ist, womit deine abschließende Deny_All glatt wirkungslos ist...
Gruß
COMCARGRU
ich habe es mal geprüft, die Lancom Regeln sind Richtig, deine nicht! Denn dann müßte dort stehen:"Bedingt übertragen" und die Bedingung ist das es eine VPN Route ist. Außerdem weist Lancom in dem Script, die Prio 1 zu bei dir ist es Prio 0!
Du hast die Regel abgeändert und zwar so, das es jetzt eine Allow All geworden ist, womit deine abschließende Deny_All glatt wirkungslos ist...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30
-
die_peitsche
- Beiträge: 99
- Registriert: 27 Jun 2008, 10:30