Problem Firewall

[Marvin10]

Hallo,

nachdem ich das Forum rauf und runter gelesen und im Routerhandbuch auch nicht fündig wurde, stelle ich auch einmal eine Frage:

Jüngst wurde bei uns ein Lancom 1721+ VPN aufgestellt. Konfiguriert habe ich zwei LAN-Netze an zwei LAN-Ports des Lancom. Jeder Client kann nur die Clients im eigenen Netz sehen (Schnittstellentags eingetragen). Netz 1 soll Zugang zum Internet habe und Netz 2 ist der Zugang zum Internet versperrt (Deny-all-Regel). Beides funktioniert.

Nun meine Probleme:
- aus Netz 1 (Internet) soll ein Zugang zu Netz 2 zum Drucken (also nur zu einer Printserver-IP, Port 9100) möglich sein
- die Clients aus Netz 2 sollten Zugang zu bestimmten Internet-Adressen bzw. Diensten (z.B. Updates) erhalten

Ist das mit dem Router überhaupt möglich (bisher lief das alles über eine alten PC mit IPCop)? Falls es geht, wäre es nett wenn ich ein wenig Hilfestellung bekäme!

Danke Marvin10

[Christoph_vW]

Ja, dafür müssen nur die passenden Firewallregeln angelegt werden (mit den passenden Tags).

[Marvin10]

Hallo,

tja, da sind dann wieder meine Probleme...

Ich habe etliche Versuche mit Regeln unternommen, die Sache aber nicht hingekriegt!

Vielleicht kann mir jemand ein Beispiel geben???

[Bernie137]

Hi,

Poste doch mal Deine Versuche, dann ist es vielleicht ersichtlich woran es scheitert.

Vg Heiko

[Marvin10]

Hallo,

ich denke, wir beschränken uns zuerst einmal aufs Druckproblem:

Konfiguration:

IP-Netzwerk1: 192.168.2.0 - Schnittstelle LAN-1 - Tag 1 >> alle Clients dürfen ins Internet
IP-Netzwerk2: 192.168.1.0 - Schnittstelle LAN-2 - Tag 2 >> internes Netz, Clients dürfen im Moment nichts (DENY-ALL-Regel), in diesem Netz stehen allerdings Drucker

Die Netze "sehen" sich wie gewünscht nicht (so solls auch bleiben).

Nun muss aber gelegentlich aus den "Internet" gedruckt werden. Wünschenswert wäre es nun, dass von LAN-1 die Printserver (Port 9100) im LAN-2 erreichbar sind.
Nach dem Lesen des Handbuchs dachte ich, ich erstellte eine Regel in der Firewall

Regel DRUCKEN >> Aktionen "ACCEPT" >> Stationen "Verbindungs-Quelle - alle Stationen im Netzwerk 1" - "Verbindungsziel - IP-Adresse Printserver >> Dienste - "Quellprotokolle und Dienste - alle" - "Zielprotokolle und Dienste Port 9100/TCP/UDP"

Der Tracemonitor gibt nur aus "Packet matched rule DRUCKEN...." aber leider kommt trotzdem keine Kommunikation zwischen Drucker und PC zustande.

Wo liegt jetzt mein Denkfehler?

[Bernie137]

Hallo,

vermutlich muss das Quell- und/oder Routing Tag in der Firewall Regel mit angegeben werden.

vg Heiko

[backslash]

Hi Marvin10

Nun muss aber gelegentlich aus den "Internet" gedruckt werden. Wünschenswert wäre es nun, dass von LAN-1 die Printserver (Port 9100) im LAN-2 erreichbar sind.
Nach dem Lesen des Handbuchs dachte ich, ich erstellte eine Regel in der Firewall

Regel DRUCKEN >> Aktionen "ACCEPT" >> Stationen "Verbindungs-Quelle - alle Stationen im Netzwerk 1" - "Verbindungsziel - IP-Adresse Printserver >> Dienste - "Quellprotokolle und Dienste - alle" - "Zielprotokolle und Dienste Port 9100/TCP/UDP"

Der Tracemonitor gibt nur aus "Packet matched rule DRUCKEN...." aber leider kommt trotzdem keine Kommunikation zwischen Drucker und PC zustande.

Wo liegt jetzt mein Denkfehler?

du mußt in der Regel noch angeben, daß das Paket umgetaggt werden soll, d.h. das Routing-Tag muß passend zum Zielnetz (Tag 2) gesetzt werden

Gruß
Backslash

[Marvin10]

Danke backslash!!!

Routing-Tag war das Stichwort...

Das Drucken kann ich nun abhaken.

Bleibt noch das Zulassen von bestimmten Websites aus dem IP-Netzwerk2.

Ich habe es mit der Regel

ERLAUBT >> Aktionen "ACCEPT" >> Stationen "Verbindungsquelle - alle Stationen im Netzwerk 2" - Verbindungsziel - Verbindung an folgende Stationen - Eine bestimmte Gegenstelle oder Eine eine IP-Adresse" >> Zielprotokolle und Dienste - WEB"

versucht.

Die DNS-Auflösung (nslookup) funktioniert durch "ALLOW-DNS".

Es ist aber völlig egal, ob ich bei "Eine bestimmte Gegenstelle" den Namen, z. B. heise.de oder http://www.heise.de eingebe oder die IP-Adresse (dann wäre der DNS ohnehin egal) eintrage.

Sobald ich "Alle Gegenstellen" auswähle geht Internet (natürlich ohne die gewünschten Einschränkungen).

Gibt es hier auch noch einen einfachen Kniff oder braucht es dazu das kostenpflichtige Content-Filter-Paket? Bei der Filterung gehts nicht primär um die Kosten, aber es sollen keine Daten an einen Anbieter zur Prüfung versandt werden. Zudem sind es auch nur einige wenige Adressen die zugelassen werden sollen.

[backslash]

Hi Marvin10,

Es ist aber völlig egal, ob ich bei "Eine bestimmte Gegenstelle" den Namen, z. B. heise.de oder http://www.heise.de eingebe oder die IP-Adresse (dann wäre der DNS ohnehin egal) eintrage.

Sobald ich "Alle Gegenstellen" auswähle geht Internet (natürlich ohne die gewünschten Einschränkungen).

DNS-Namen kannst du in der Firewall nur verwenden, wenn der interne DNS-Server des LANCOMs sie *ohne* externe Anfrage auflösen kann, d.h. für lokale Hosts, die ihre Adressen beim DHCP-Server des LANCOMs beziehen oder die die per NetBIOS bekannt machen oder die sich aktiv im DNS-Server des LANCOMs registrieren (oder die manuell in der DNS-Liste des DNS-Servers eingetragen wurden).

Gruß
Backslash