Hallo zusammen,
ich hätte eine Frage zu dem Trace-Befehl.
Gibt es eine Möglichkeit die Ausgabe des Befehls "trace + ip-router" so einzuschränken, daß die Daten, die in den VPN-Tunnel (LAN-LAN-Kopplung) gehen nicht angezeigt werden. Ich würde gerne wissen, welche Geräte im Netz direkt ins Internet möchten. Aber nicht nur über Port 80 oder 443 sondern ob irgend welche Anfragen ins internet gesendet werden.
Nach möglichkeit möchte ich nicht den Weg gehen das Internet mit einer Regel zu verbieten um dann zu schauen, was alles auf der FW aufschlägt.
Danke im vorraus
huether
Trace-Ausgabe einschränken R883+
Moderator: Lancom-Systems Moderatoren
Re: Trace-Ausgabe einschränken R883+
hi huether,
mit einem @ hinter dem Befehl kannst du Filter anlegen.
Tipp: Wenn du den Trace statt mit + besser mit # startest, kannst du ihn auch damit wieder stoppen, in dem du die Pfeiltaste hoch drückst (letzten Befehl wiederholen) und dann Enter drückst.
Für dein Beispiel gesendete Pakete (angenommen deine Internetverbindung lautet INTERNET:
Willst du bestimmte Pakete nicht sehen, kannst du den Filter (z.B. keine Pakete an oder von der 192.168.99.99) erweitern:
Schau dir einfach die Trace-Ausgabe an und kombiniere dann die Filter, wie du sie benötigst...
Gruß hyperjojo
mit einem @ hinter dem Befehl kannst du Filter anlegen.
Tipp: Wenn du den Trace statt mit + besser mit # startest, kannst du ihn auch damit wieder stoppen, in dem du die Pfeiltaste hoch drückst (letzten Befehl wiederholen) und dann Enter drückst.
Für dein Beispiel gesendete Pakete (angenommen deine Internetverbindung lautet INTERNET:
Code: Alles auswählen
tr # ip-r @ +"WAN Tx (INTERNET)" Code: Alles auswählen
tr # ip-r @ +"WAN Tx (INTERNET)" -192.168.99.99Gruß hyperjojo
Re: Trace-Ausgabe einschränken R883+
Hi huether,
der Trace ist aber nicht das richtige dafür, denn zum einen brenmst er die Performabnce massiv aus - er muß halt jedes Paket aufbereiten.
Zum anderen siehst du dann den Wald vor lauter Bäumen nicht...
Da ist das mit der DENY-All-Regel schon die bessere Variante - vor allem weist du dann auch, was in deinem Netz passiert und hast am Ende auch gleich eine sichere Firewall-Konfiguration erstellt...
Alternativ könntest du auch eine Firewallregel erstellen, die jede Session ins Syslog schreibt:
Danach kannst du das Syslog dann auswerten - aber Achtung: Damit begibst du dich in enen Datenschutzrechtlichen Graubereich...
Gruß
Backslash
der Trace ist aber nicht das richtige dafür, denn zum einen brenmst er die Performabnce massiv aus - er muß halt jedes Paket aufbereiten.
Zum anderen siehst du dann den Wald vor lauter Bäumen nicht...
Da ist das mit der DENY-All-Regel schon die bessere Variante - vor allem weist du dann auch, was in deinem Netz passiert und hast am Ende auch gleich eine sichere Firewall-Konfiguration erstellt...
Alternativ könntest du auch eine Firewallregel erstellen, die jede Session ins Syslog schreibt:
Code: Alles auswählen
Name: LOG_INTERNET
Priorität: 9999
[x] diese Regel ist für die Firewall aktiv
[ ] diese Regel wird zum Erzeugen von
VPN-Netzbeziehungen (SAs) verwendet
[x] weitere Regeln beachten, nachdem die Regel
zutrifft
[x] Diese Regel hält Verbindungszustände nach
Aktion: Übertagen
[x] Syslog Nachricht senden
Quelle: alle Stationen im lokalen Netz
Ziel: Gegentstelle "INTERNET" (oder wie auch immer dei Internetverbidnung bei dir heißt)
Dienste: alle Dienste
Gruß
Backslash
Re: Trace-Ausgabe einschränken R883+
Hallo hyperjojo,
Hallo backslash,
danke für die 2 Tips. hat beides super funktioniert.
Ich habe auch mal RPCap ausprobiert und die Daten direkt in Wireshark schreiben lassen. Leider habe ich dort nicht die Möglichkeit gefunden, den Traffic vom INTERNET und den VPN-Tunnel zu trennen. Die RPCap Schnittstelle auf dem Router gibt das nicht her und in Wireshark müsste ich alle IP-Adressen ausfiltern die in den Tunnel gehen.
Oder gibt es bei der RPCap-Schnittstelle doch eine Möglichkeit? das wäre natürlich die Non plus Ultra Lösung.
Grüße
huether
Hallo backslash,
danke für die 2 Tips. hat beides super funktioniert.
Ich habe auch mal RPCap ausprobiert und die Daten direkt in Wireshark schreiben lassen. Leider habe ich dort nicht die Möglichkeit gefunden, den Traffic vom INTERNET und den VPN-Tunnel zu trennen. Die RPCap Schnittstelle auf dem Router gibt das nicht her und in Wireshark müsste ich alle IP-Adressen ausfiltern die in den Tunnel gehen.
Oder gibt es bei der RPCap-Schnittstelle doch eine Möglichkeit? das wäre natürlich die Non plus Ultra Lösung.
Grüße
huether