Moderator: Lancom-Systems Moderatoren
Die IPv4-Firewall unterstützt nunmehr keine MAC-Adressen als Ziel. Bestehende Konfigurationen funktionieren weiterhin.
ich1. Wer ist denn auf diese Schnapsidee gekommen?!
Das stimmt sehr wohl! Wenn du mit LANconfig eine Konfig in das Gerät lädst, dann ist das keine Bestehende mehr, sondern eine Neue und die wird abgelehnt. Es geht nur darum, daß Firewallregeln nach einem Firmwareupdate erstmal weiter funktionieren - das ist das gleiche wie damals bei der Abschaffung der "Any-Bindung". Dennoch müssen alle Regeln mit MAC-Adresse in der Zielspalte abgeändert werden, da die ab der 10.50 definitiv nicht mehr funktionieren werden!2. Stimmt das nicht! Alte Konfigurationen lassen sich per Lanconfig nicht zurückspielen, solange die Firewallregeln nicht entsprechend adaptiert sind.
Ahh gut, dass du das so beschreibst, du lieferst damit nämlich genau das Argument für eine MAC-basierte Zielzuweisung:backslash hat geschrieben: 10 Dez 2019, 19:28ich1. Wer ist denn auf diese Schnapsidee gekommen?!
Anders herum gefragt: Wer kommt auf die Schnapsidee, MAC-Adressen in der Zielspalte einzutragen?
Die Begründung für MAC-Adressen in der Quellspalte ist, daß man Hosts per DHCP dynamisch Adressen zuweist und daß diese daher nicht stabil sind und man für diese Hosts keine Regeln für "abgehende" Sessions erstellen kann... MAC-Addressen in der Zielspalte werden aber nur für "eingehende" Sessions benötigt. Das heißt aber, daß der jenige, der die Session aufbauen will, die Ziel-IP-Adresse kennen muß. Somit ist diese stabil und die MAC-Adresse wird nicht benötigt.
Eine MAC-Adresse bringt i.Ü. weder in der Ziel- noch in der Quellspalte irgendwas an Sicherheit: Ein Angreifer, der eine IP-Adresse fälschen kann, kann auch die MAC-Adresse fälschen - zudem muß er sich schon im lokalen Netz befinden...
Das ist Haarspalterei! Wenn z.B. ich in den Kommentaren etwas ändere, dann ist es ja nicht gleich eine neue Konfiguration, und über die Kommandozeile oder die WebGui lässt sich das vermutlich problemlos ändern.backslash hat geschrieben: 10 Dez 2019, 19:28Das stimmt sehr wohl! Wenn du mit LANconfig eine Konfig in das Gerät lädst, dann ist das keine Bestehende mehr, sondern eine Neue und die wird abgelehnt. Es geht nur darum, daß Firewallregeln nach einem Firmwareupdate erstmal weiter funktionieren - das ist das gleiche wie damals bei der Abschaffung der "Any-Bindung". Dennoch müssen alle Regeln mit MAC-Adresse in der Zielspalte abgeändert werden, da die ab der 10.50 definitiv nicht mehr funktionieren werden!2. Stimmt das nicht! Alte Konfigurationen lassen sich per Lanconfig nicht zurückspielen, solange die Firewallregeln nicht entsprechend adaptiert sind.
und genau damit beschreibst du auch gleich wieder, warum es eben *NICHT* nötig ist - bzw. daß du offenfar nicht richtig verstanden hast, wie die eine Stateful-Inspection-Firewall arbeitet...Ahh gut, dass du das so beschreibst, du lieferst damit nämlich genau das Argument für eine MAC-basierte Zielzuweisung:
IP-Adressen werden dynamisch per DHCP zugewiesen, ich will aber nur für ganz bestimmte Endgeräte bzw. Endgeräteklassen z.B. ein QoS auf einen Service eingehend zulassen, dann trage ich dort die MAC-Adressen ein, da die IP, ja wie du selbst raus gefunden hast ja dynamisch sind. Dafür muss man nicht unbedingt die IP, wohl aber die MAC kennen.
Nein das ist *KEINE* Haarspalterei. Für das Gerät ist eine Konfiguration, die als .lcf-Datei in das Gerät geladen wird, *IMMER* eine komplett *NEUE* Konfiguration. Solange du auf dem CLI oder mit der WEBconfig arbeitest, kannst du problemlos die Konfiguration ändern - aber auch da wirst du keine Einträge erzeugen können, die MAC-Adressen in der Zielspalte habenDas ist Haarspalterei! Wenn z.B. ich in den Kommentaren etwas ändere, dann ist es ja nicht gleich eine neue Konfiguration
