Hallo zusammen,
ich habe 2 DSL-Leitungen und verteile darüber schon seit längerem bestimmte ausgehende Dienste per Routing Tag (z.B. HTTP Leitung 1, IMAP Leitung 2 etc.). Heute wollte ich mal nicht nur die ausgehenden Verbindungen auf die einzelnen Leitungen verteilen, sondern auch die eingehenden Verbindungen nur für je eine Leitung erlauben und die andere blocken - was mir nicht gelungen ist.
Im Moment sind alle freigegebenen Ports/Dienste über beide DSL-Leitungen von außen erreichbar. Wenn ich nun Port 80 eingehend für eine der beiden Leitungen (z.B. Routing Tag 1) sperren möchte, sperre ich sie ungewollt für beide. Scheinbar wird das Routing Tag bei eingehenden Verbindungen nicht berücksichtigt.
Gibt es einen Workaround für das was ich vorhabe?
Danke und Gruß
C.
EDIT: Sorry, hätte wohl eher in die Rubrik Firewall gehört, kann gern umgehangen werden.
Routing Tags für eingehende Verbindung
Moderator: Lancom-Systems Moderatoren
Routing Tags für eingehende Verbindung
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000
Hi Carli
Das ist aber letztendlich gar nicht das, was du hier willst... Du willst einfach nur den Traffic blocken, wenn er über die falsche Leitung hereinkommt. Es gibt zwei Möglichkeiten dein Problem zu lösen.
1. Wenn die Leitungen maskiert sind und du eh ein Portforwarding eingerichtet hast, dann kannst du bei jedem Portforwarding sagen, für welche Gegenstelle es gelten soll:
Kommt das Paket nun über die andere Leitung herein, wird es von der Maskierung abgelehnt...
2. Du regelst das über die Firewall. Wenn du eine DENY-All-Route hast, dann mußt du den einkommenden Traffic eh explizit freischalten. Wenn du dabei nun als Quelle nicht "Alle Stationen", sondern die jeweilige Gegenstelle einträgst, dann hast du auch den gewünschten Effekt:
Kommt hier das Paket nun über die andere Leitung herein, dann matcht es nicht auf die Bedingung "Gegenstelle Leitung-1" und die Firewall sucht die nächste Regel, die matchen könnte - und das ist dann die DENY-ALL-Regel, die das Paket verwirft.
Du kannst natürlich auch beides kombinieren...
Gruß
Backslash
Du kannst über die WAN-Tag-Tabelle jeder Gegenstelle ein Tag zuweisen, das für einkommende Pakete genommen wird. Das verhält sich dann genau so, wie ein Interface-Tag an einem ARF-Netz.Wenn ich nun Port 80 eingehend für eine der beiden Leitungen (z.B. Routing Tag 1) sperren möchte, sperre ich sie ungewollt für beide. Scheinbar wird das Routing Tag bei eingehenden Verbindungen nicht berücksichtigt.
Das ist aber letztendlich gar nicht das, was du hier willst... Du willst einfach nur den Traffic blocken, wenn er über die falsche Leitung hereinkommt. Es gibt zwei Möglichkeiten dein Problem zu lösen.
1. Wenn die Leitungen maskiert sind und du eh ein Portforwarding eingerichtet hast, dann kannst du bei jedem Portforwarding sagen, für welche Gegenstelle es gelten soll:
Code: Alles auswählen
Anfangs-Port: 80
End-Port: 80
Gegenstelle: Leitung-1
Intranet-Adresse: IP des Webservers
Map-Port: 0
Protokoll: TCP
WAN-Adresse: 0.0.0.02. Du regelst das über die Firewall. Wenn du eine DENY-All-Route hast, dann mußt du den einkommenden Traffic eh explizit freischalten. Wenn du dabei nun als Quelle nicht "Alle Stationen", sondern die jeweilige Gegenstelle einträgst, dann hast du auch den gewünschten Effekt:
Code: Alles auswählen
Aktion: übertragen
Quelle: Gegenstelle Leitung-1
Ziel: IP des Webservers
Dienste: TCP, Zielport 80Du kannst natürlich auch beides kombinieren...
Gruß
Backslash