Transparente Firewall (Osi Layer 2)
Moderator: Lancom-Systems Moderatoren
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Transparente Firewall (Osi Layer 2)
Ich würde mir eine Firewall wünschen, die Pakete auf OSI 2 (also ohne Routing) filtern kann. Einige Hersteller haben schon vorgemacht, das dieses durch Analyse der Pakete durchaus möglich ist. Auch gibt es bereits mehrere Softwareprojekte, die dieses mit einem Linuxrechner zum einschleifen bereits geschaft haben. Gerade bei Access Points die nicht routen sollen (um die vorhandene Produktivumgebung nicht umstellen zu müssen - welches manchmal erhebliche Probleme bereitet), wäre es für mich sehr wünschenswert.
Hi m-jelinski
Gruß
Backslash
In diesem Fall handelt es sich aber um eine sog. Deep-Packet-Inspection und die läuft nicht auf Layer 2 sondern auf den Layern 5...7.Einige Hersteller haben schon vorgemacht, das dieses durch Analyse der Pakete durchaus möglich ist.
Gerade bei Accesspoints, die nur Bridgen ist soetwas eher nicht geünscht, da dies massiv auf die Performance geht. Accesspoints hängt man normalerweise in eine separaten Strang, der über eine leistungstarke Firewall vom Rest des Netzes abgetrennt ist. Desweiteren unterbindet man im AP, daß sich die WLAN-Clients gegenseitig sehen, womit die nötige Sicherheit gewährleistet ist.Gerade bei Access Points die nicht routen sollen (...), wäre es für mich sehr wünschenswert.
Da sich WLAN-Clients ihre Konfiguration normalerweise per DHCP holen, ist keine Umstellung der Produktivumgebung notwendig - außer den getrennten Strang an die Firewall zu hängen(um die vorhandene Produktivumgebung nicht umstellen zu müssen - welches manchmal erhebliche Probleme bereitet)
Gruß
Backslash
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Hallo backslash,
vielen Dank für Deine Antwort. Mir geht es im gegebenen Fall um folgendes:
Der WLAN Teil soll als Bridge dienen. Das Netzwerk steht und der Server braucht die MAC Adressen der einzelnen Clients um diese zu identifizieren (über IPs geht es leider nicht, da beim IPCop Server nur IP Adressen aus dem selben Netz ohne Probleme funktionieren - keine Rückroute möglich).
SERVER <--> WLAN Bridge <--> WLAN Bridge <--> Clients (selbes IP Netz wie Server unbedingt vorgeschrieben)
Da die Clients im selben Netz wie der IPCop sein müssen, darf auf der WLAN Bridge nicht geroutet werden. Trotzdem möchte ich das die WLAN Bridge nur bestimmte Ports durchlässt und andere durch eine Firewallfunktion sperrt . Auch eine Bandbreitenbegrenzungen für einzelne Verbindungen (nicht Clients) wäre damit einfach realisierbar (z.B. HTTP Durchlass 1 MBit/s und weniger wichtige Verbindungen nur mit 512 kBit/s)Für mich macht das durchaus Sinn (egal auf welchem Layer das jetzt passiert), so dass ich mir diese Funktion wünsche.
PS. Cisco bietet diese Funktion bereits.
vielen Dank für Deine Antwort. Mir geht es im gegebenen Fall um folgendes:
Der WLAN Teil soll als Bridge dienen. Das Netzwerk steht und der Server braucht die MAC Adressen der einzelnen Clients um diese zu identifizieren (über IPs geht es leider nicht, da beim IPCop Server nur IP Adressen aus dem selben Netz ohne Probleme funktionieren - keine Rückroute möglich).
SERVER <--> WLAN Bridge <--> WLAN Bridge <--> Clients (selbes IP Netz wie Server unbedingt vorgeschrieben)
Da die Clients im selben Netz wie der IPCop sein müssen, darf auf der WLAN Bridge nicht geroutet werden. Trotzdem möchte ich das die WLAN Bridge nur bestimmte Ports durchlässt und andere durch eine Firewallfunktion sperrt . Auch eine Bandbreitenbegrenzungen für einzelne Verbindungen (nicht Clients) wäre damit einfach realisierbar (z.B. HTTP Durchlass 1 MBit/s und weniger wichtige Verbindungen nur mit 512 kBit/s)Für mich macht das durchaus Sinn (egal auf welchem Layer das jetzt passiert), so dass ich mir diese Funktion wünsche.
PS. Cisco bietet diese Funktion bereits.
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Auch hatte ich mal den Fall:
Vorher:
SDSL Router <--> LAN
Nachher (um VPN Tunnel zu realisieren):
SDSL Router <--> Lancom 1711 VPN (nur für die VPN Verbindungen) <--> LAN
Dadurch musste an diversen Routern (u.a. einer für eine 2 MBit/s Standleitung) die Routingtabelle verändert werden. Alles in allem ein enormer Aufwand, den man sich mit einer Firewall die nicht routet sparen könnte.
Vorher:
SDSL Router <--> LAN
Nachher (um VPN Tunnel zu realisieren):
SDSL Router <--> Lancom 1711 VPN (nur für die VPN Verbindungen) <--> LAN
Dadurch musste an diversen Routern (u.a. einer für eine 2 MBit/s Standleitung) die Routingtabelle verändert werden. Alles in allem ein enormer Aufwand, den man sich mit einer Firewall die nicht routet sparen könnte.
Hi!
MAC-Filter im Bridge-Mode würden mir schon gut gefallen.
Ich hab die "andere" Seite meine WLAN-Bridges nicht immer in gesicherten Bereichen und muss ebenfalls im selben Subnetz fahren.
Ich such grade einen halbwegs günstigen Switch, der mehr als 8 MACs pro Port filtern kann - kennt jemand einen?
Lg. Bj
MAC-Filter im Bridge-Mode würden mir schon gut gefallen.
Ich hab die "andere" Seite meine WLAN-Bridges nicht immer in gesicherten Bereichen und muss ebenfalls im selben Subnetz fahren.
Ich such grade einen halbwegs günstigen Switch, der mehr als 8 MACs pro Port filtern kann - kennt jemand einen?
Lg. Bj
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Moin,
erstmal einen Eintrag für ARP:
Pakete, auf die keine Regel zutrifft, werden verworfen. Will man umgekehrt einzelne
Ports sperren, dann nimmt man obige Regeln und stellt von Durchlassen auf Verwerfen um,
dazu definiert man eine default-allow-Regel:
Und immer erst auf dem lokalen Gerät ausprobieren, damit man sich nicht
aussperrt - und solche Regeln lassen sich auch durchaus fürs LAN definieren...
Gruß Alfred
erstmal einen Eintrag für ARP:
Dann z.B. für Port 80:Name: ARP
Protokoll: 0806
Unterprotokoll, Port &Port-Ende: 0
Ifc-List: je nach Bedarf (z.B. WLAN-1 für das erste logische Netz, P2P-1-1 für die erste
Point-2-Point-Strecke, auch kommaseparierte Listen möglich)
Aktion: Durchlassen
Umleite-IP: leerlassen (gilt nur bei Umleiten als Aktion)
Sobald für ein Interface irgendeine Regel definiert ist, gilt ein implizites default-drop, d.h.Name: HTTP
Protokoll: 0800
Unterprotokoll: 6
Port: 80
Port-Ende: 0 oder 80 (ist gleichwertig, wenn nur ein einzelner Port und kein Bereich gemeint
ist)
Ifc-List: je nach Bedarf, wie oben
Aktion: Durchlassen
Umleite-IP: wieder leerlassen
Pakete, auf die keine Regel zutrifft, werden verworfen. Will man umgekehrt einzelne
Ports sperren, dann nimmt man obige Regeln und stellt von Durchlassen auf Verwerfen um,
dazu definiert man eine default-allow-Regel:
Es greift immer die 'spezifischste' Regel, die auf das jeweilge Paket paßt.Name: DEFAULT
Protokoll: 0000
Unterprotokoll, Port & Port-Ende: 0
Ifc-List: je nach Bedarf, wie oben
Aktion: Durchlassen
Umleite-IP: wieder leerlassen
Und immer erst auf dem lokalen Gerät ausprobieren, damit man sich nicht
aussperrt - und solche Regeln lassen sich auch durchaus fürs LAN definieren...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Hi,
UDP ist Unterprotokoll "17". Gehe einfach mal im LANconfig in die jeweiligen Zeilen und druecke "F1", dort wirst Du zu jedem Eintrag eine Hilfe mit Beispielen finden. Weitere Dokumentation findest Du im Ref. Manual Seite 360 ff.
Ciao
LoUiS
UDP ist Unterprotokoll "17". Gehe einfach mal im LANconfig in die jeweiligen Zeilen und druecke "F1", dort wirst Du zu jedem Eintrag eine Hilfe mit Beispielen finden. Weitere Dokumentation findest Du im Ref. Manual Seite 360 ff.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Hallo,
eigentlich dachte ich, das ich mit der Lösung über die WLAN Sicherheit / Protokolle / Protokolle vorläufig zufrieden bin.
Nun habe ich eben die Regeln eingegeben und da war nach der 32ten Regel keine weitere Regel mehr möglich.
Von daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann).
eigentlich dachte ich, das ich mit der Lösung über die WLAN Sicherheit / Protokolle / Protokolle vorläufig zufrieden bin.
Nun habe ich eben die Regeln eingegeben und da war nach der 32ten Regel keine weitere Regel mehr möglich.
Von daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann).
Tja, da wirst Du wohl etwas Geduld aufbringen muessen, wir schreiben es auf die (lange) Liste mit den Feature-Wuenschen.Von daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann).
Ciao
LouiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.