Transparente Firewall (Osi Layer 2)

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

m-jelinski
Beiträge: 231
Registriert: 29 Mär 2005, 14:08
Wohnort: Kaufungen bei Kassel
Kontaktdaten:

Beitrag von m-jelinski »

Danke, auf diese Funktion warte ich gerne!
Viele Grüße und ein frohes neues Jahr !!!
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Nun habe ich eben die Regeln eingegeben und da war nach der 32ten Regel keine weitere Regel mehr möglich.
Bisher hat niemand mehr gebraucht...
Von daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann).
Warten, bis sich im IP-Stack den Interfaces einzelne IP-Adressen zuordnen lassen...dann
das Bridging ausschalten - und sich wundern wieso der Durchsatz so besch... ist...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
m-jelinski
Beiträge: 231
Registriert: 29 Mär 2005, 14:08
Wohnort: Kaufungen bei Kassel
Kontaktdaten:

Beitrag von m-jelinski »

Wie gesagt, ich benötige das Bridging (da der IPCop Server im gleichen IP Netz stehen muss wie der Client). Der Datendurchsatz ist nicht so wichtig, da ich sowieso nur 1 bis max. 2 MBit/s benötige.

Zum Thema mehr Regeln. Jeder freigegebene Port oder Portbereich benötigt eine eigene Regel. Da ist man recht schnell am Ende.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Zum Thema mehr Regeln. Jeder freigegebene Port oder Portbereich benötigt eine eigene Regel. Da ist man recht schnell am Ende.
Das kann ich recht einfach für die nächste LCOS-Version ändern. Was ich damit sagen
wollte, ist daß bisher niemand so viele Regeln brauchte. Üblicherweise wiollen die Kunden
mit diesem Feature den Traffic auf einem WLAN z.B. auf PPPoE einschränken oder
NetBIOS herausfiltern, also alles Sachen, die sich mit 2,3 Regeln erschlagen lassen.
Für so komplizierte Sachen waren die Protokoll-Filter nie konzipiert.
er Datendurchsatz ist nicht so wichtig, da ich sowieso nur 1 bis max. 2 MBit/s benötige.
Dir vielleicht nicht, aber andere Kunden würden durchaus verlangen, daß auch mit
Filter weiterhin das Bridging eines 108Mbps-WLAN ohne nennenswerte Verluste möglich
ist. Das dürfte schon mit den bisherigen Filtern eng werden, mit komplizierteren Regeln
kann man das mit den in LANCOMs verbaubaren CPUs endgültig vergessen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
m-jelinski
Beiträge: 231
Registriert: 29 Mär 2005, 14:08
Wohnort: Kaufungen bei Kassel
Kontaktdaten:

Beitrag von m-jelinski »

Jo stimmt, muss man halt immer für den Anwendungsfall sehen. Änderst Du bitte die Beschränkung auf 32 Regeln? Unbegrenzt wäre gut (um nicht wieder in Engpässe zu kommen).

Trotzdem wäre es für die Firewall weiterhin sinnvoll, da man dann auch bestimmte Ports auf bestimmte IPs zulassen könnte (z.B. Clients dürfen nur mit Port 110 und 25 auf den Mailserver, aber mit Port 80 und 443 auf den Webserver, während zum Gatewayrechner Ports wie ICQ und ähnliches erlaubt sind).
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Jo stimmt, muss man halt immer für den Anwendungsfall sehen. Änderst Du bitte die Beschränkung auf 32 Regeln? Unbegrenzt wäre gut (um nicht wieder in Engpässe zu kommen).
Unbegrenzt geht nicht. Zum einen sind Tabellen im LCOS im Moment prinzipiell auf
maximal 65536 Einträge beschränkt, zum anderen wird der Speicher für Tabellen im
Setup-Ast statisch belegt - der Speicher wäre also auch für alle Kunden weg, die
die Tabelle überhaupt nicht gebrauchen. 64 Einträge sollten aber noch in Ordnung sein.
Trotzdem wäre es für die Firewall weiterhin sinnvoll, da man dann auch bestimmte Ports auf bestimmte IPs zulassen könnte (z.B. Clients dürfen nur mit Port 110 und 25 auf den Mailserver, aber mit Port 80 und 443 auf den Webserver, während zum Gatewayrechner Ports wie ICQ und ähnliches erlaubt sind).
Nun, den Wunsch kann *ich* Dir nicht erfüllen...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
m-jelinski
Beiträge: 231
Registriert: 29 Mär 2005, 14:08
Wohnort: Kaufungen bei Kassel
Kontaktdaten:

Beitrag von m-jelinski »

64 Regeln wären zwar gut, reichen aber für meine Regeln leider noch nicht aus (Deny-All Konzept und sämtliche benötigten Ports freigegeben). Wären auch 128 möglich?
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi m-jelinski

Wie gesagt, ich benötige das Bridging (da der IPCop Server im gleichen IP Netz stehen muss wie der Client).
das ist doch nur eine Frage, wie man den IPCop konfiguriert...
Der Datendurchsatz ist nicht so wichtig, da ich sowieso nur 1 bis max. 2 MBit/s benötige.
...denn da würde sich ein Routing fast schon lohnen...

Desweiteren: Wenn du schon IPCop einsetzt, dann hängst du den Accesspoint einfach an ein getrenntes Interface - ich glaube das für das WLAN vorgesehen heißt beim IPCop blau (rot ist das Internet und grün das LAN...) - und erstellst die notwendigen Firewallregeln auf dem IPCop.

Das hatte ich aber schon mal vorgeschlagen (ganz am Anfang des Threads)...


Gruß
Backslash
m-jelinski
Beiträge: 231
Registriert: 29 Mär 2005, 14:08
Wohnort: Kaufungen bei Kassel
Kontaktdaten:

Beitrag von m-jelinski »

Klar würde sich routing lohnen. Nur leider funktioniert es nicht. Der IPCop trifft seine "Zugriff auf Blau" Entscheidung aufgrund der MAC Adresse. Sobald ich den Lancom routen lasse, ist die MAC Adresse für das blaue Interface logischerweise nicht mehr sichtbar. Und damit kann der IPCop nichts mehr regeln. Auch können die Firewalloptionen im IPCop nur vom Blauen auf das Grüne nicht aber auf das Rote Interface greifen. Von daher ist die IPCop Firewall nicht zu gebrauchen.

Grundsätzlich spielt das für mich aber keine Rolle, da ich Eindringlinge im WLAN bereits vor dem IPCop und nicht erst auf dem IPCop ausfiltern möchte.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin.
64 Regeln wären zwar gut, reichen aber für meine Regeln leider noch nicht aus (Deny-All Konzept und sämtliche benötigten Ports freigegeben). Wären auch 128 möglich?
Was sind denn das alles für Dienste? Bekommt man die nicht über Portbereiche
zusammengefaßt?

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
m-jelinski
Beiträge: 231
Registriert: 29 Mär 2005, 14:08
Wohnort: Kaufungen bei Kassel
Kontaktdaten:

Beitrag von m-jelinski »

Nein leider nicht. Hab ich schon sortiert.

Im Grunde genommen sind es die Standarddienste (z.B. DHCP, DNS, FTP, HTTP, HTTPS, Proxyports, TFTP, IMAP, NNTP, POP3, SMTP, SNMP, TELNET, PPTP, IPSec, L2TP und einige andere), Messenger (wie z.B. ICQ, MSN, Yahoo! oder Skype) sowie viele Spiele die eine Verbindung ins Internet für Onlinespiele benötigen.

Das hört sich jetzt alles ein wenig viel für eine Produktivumgebung an. Wir nutzen die Technik um ein nicht mit DSL versorgten Ort mit Internet zu versorgen. Da wir ungefähr 100 Computer mit Internet versorgen (in Form eines Vereins zum Selbstkostenpreis für jedes Mitglied). Und da Filesharing und andere Dienste bei uns nicht erwünscht sind, aber viele andere Dienste einfach erlaubt sind, müssen wir über ein Deny-All Konzept fahren. Zum Internet sind diese Dienste über die normale Firewall im Router (ebenfalls Deny-All Konzept) erlaubt bzw. gesperrt. Da wir aber auch nur diese Ports zu unseren Servern (IPCop) lassen wollen und die Clients im selben Netz sein müssen, kommt halt der Protokoll-Filter zum Einsatz. Daher wären 128 Regeln für uns eigentlich minimum.
Antworten