Danke, auf diese Funktion warte ich gerne!
Viele Grüße und ein frohes neues Jahr !!!
Transparente Firewall (Osi Layer 2)
Moderator: Lancom-Systems Moderatoren
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Moin,
das Bridging ausschalten - und sich wundern wieso der Durchsatz so besch... ist...
Gruß Alfred
Bisher hat niemand mehr gebraucht...Nun habe ich eben die Regeln eingegeben und da war nach der 32ten Regel keine weitere Regel mehr möglich.
Warten, bis sich im IP-Stack den Interfaces einzelne IP-Adressen zuordnen lassen...dannVon daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann).
das Bridging ausschalten - und sich wundern wieso der Durchsatz so besch... ist...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Wie gesagt, ich benötige das Bridging (da der IPCop Server im gleichen IP Netz stehen muss wie der Client). Der Datendurchsatz ist nicht so wichtig, da ich sowieso nur 1 bis max. 2 MBit/s benötige.
Zum Thema mehr Regeln. Jeder freigegebene Port oder Portbereich benötigt eine eigene Regel. Da ist man recht schnell am Ende.
Zum Thema mehr Regeln. Jeder freigegebene Port oder Portbereich benötigt eine eigene Regel. Da ist man recht schnell am Ende.
Moin,
wollte, ist daß bisher niemand so viele Regeln brauchte. Üblicherweise wiollen die Kunden
mit diesem Feature den Traffic auf einem WLAN z.B. auf PPPoE einschränken oder
NetBIOS herausfiltern, also alles Sachen, die sich mit 2,3 Regeln erschlagen lassen.
Für so komplizierte Sachen waren die Protokoll-Filter nie konzipiert.
Filter weiterhin das Bridging eines 108Mbps-WLAN ohne nennenswerte Verluste möglich
ist. Das dürfte schon mit den bisherigen Filtern eng werden, mit komplizierteren Regeln
kann man das mit den in LANCOMs verbaubaren CPUs endgültig vergessen.
Gruß Alfred
Das kann ich recht einfach für die nächste LCOS-Version ändern. Was ich damit sagenZum Thema mehr Regeln. Jeder freigegebene Port oder Portbereich benötigt eine eigene Regel. Da ist man recht schnell am Ende.
wollte, ist daß bisher niemand so viele Regeln brauchte. Üblicherweise wiollen die Kunden
mit diesem Feature den Traffic auf einem WLAN z.B. auf PPPoE einschränken oder
NetBIOS herausfiltern, also alles Sachen, die sich mit 2,3 Regeln erschlagen lassen.
Für so komplizierte Sachen waren die Protokoll-Filter nie konzipiert.
Dir vielleicht nicht, aber andere Kunden würden durchaus verlangen, daß auch miter Datendurchsatz ist nicht so wichtig, da ich sowieso nur 1 bis max. 2 MBit/s benötige.
Filter weiterhin das Bridging eines 108Mbps-WLAN ohne nennenswerte Verluste möglich
ist. Das dürfte schon mit den bisherigen Filtern eng werden, mit komplizierteren Regeln
kann man das mit den in LANCOMs verbaubaren CPUs endgültig vergessen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Jo stimmt, muss man halt immer für den Anwendungsfall sehen. Änderst Du bitte die Beschränkung auf 32 Regeln? Unbegrenzt wäre gut (um nicht wieder in Engpässe zu kommen).
Trotzdem wäre es für die Firewall weiterhin sinnvoll, da man dann auch bestimmte Ports auf bestimmte IPs zulassen könnte (z.B. Clients dürfen nur mit Port 110 und 25 auf den Mailserver, aber mit Port 80 und 443 auf den Webserver, während zum Gatewayrechner Ports wie ICQ und ähnliches erlaubt sind).
Trotzdem wäre es für die Firewall weiterhin sinnvoll, da man dann auch bestimmte Ports auf bestimmte IPs zulassen könnte (z.B. Clients dürfen nur mit Port 110 und 25 auf den Mailserver, aber mit Port 80 und 443 auf den Webserver, während zum Gatewayrechner Ports wie ICQ und ähnliches erlaubt sind).
Moin,
maximal 65536 Einträge beschränkt, zum anderen wird der Speicher für Tabellen im
Setup-Ast statisch belegt - der Speicher wäre also auch für alle Kunden weg, die
die Tabelle überhaupt nicht gebrauchen. 64 Einträge sollten aber noch in Ordnung sein.
Gruß Alfred
Unbegrenzt geht nicht. Zum einen sind Tabellen im LCOS im Moment prinzipiell aufJo stimmt, muss man halt immer für den Anwendungsfall sehen. Änderst Du bitte die Beschränkung auf 32 Regeln? Unbegrenzt wäre gut (um nicht wieder in Engpässe zu kommen).
maximal 65536 Einträge beschränkt, zum anderen wird der Speicher für Tabellen im
Setup-Ast statisch belegt - der Speicher wäre also auch für alle Kunden weg, die
die Tabelle überhaupt nicht gebrauchen. 64 Einträge sollten aber noch in Ordnung sein.
Nun, den Wunsch kann *ich* Dir nicht erfüllen...Trotzdem wäre es für die Firewall weiterhin sinnvoll, da man dann auch bestimmte Ports auf bestimmte IPs zulassen könnte (z.B. Clients dürfen nur mit Port 110 und 25 auf den Mailserver, aber mit Port 80 und 443 auf den Webserver, während zum Gatewayrechner Ports wie ICQ und ähnliches erlaubt sind).
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Hi m-jelinski
Desweiteren: Wenn du schon IPCop einsetzt, dann hängst du den Accesspoint einfach an ein getrenntes Interface - ich glaube das für das WLAN vorgesehen heißt beim IPCop blau (rot ist das Internet und grün das LAN...) - und erstellst die notwendigen Firewallregeln auf dem IPCop.
Das hatte ich aber schon mal vorgeschlagen (ganz am Anfang des Threads)...
Gruß
Backslash
das ist doch nur eine Frage, wie man den IPCop konfiguriert...Wie gesagt, ich benötige das Bridging (da der IPCop Server im gleichen IP Netz stehen muss wie der Client).
...denn da würde sich ein Routing fast schon lohnen...Der Datendurchsatz ist nicht so wichtig, da ich sowieso nur 1 bis max. 2 MBit/s benötige.
Desweiteren: Wenn du schon IPCop einsetzt, dann hängst du den Accesspoint einfach an ein getrenntes Interface - ich glaube das für das WLAN vorgesehen heißt beim IPCop blau (rot ist das Internet und grün das LAN...) - und erstellst die notwendigen Firewallregeln auf dem IPCop.
Das hatte ich aber schon mal vorgeschlagen (ganz am Anfang des Threads)...
Gruß
Backslash
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Klar würde sich routing lohnen. Nur leider funktioniert es nicht. Der IPCop trifft seine "Zugriff auf Blau" Entscheidung aufgrund der MAC Adresse. Sobald ich den Lancom routen lasse, ist die MAC Adresse für das blaue Interface logischerweise nicht mehr sichtbar. Und damit kann der IPCop nichts mehr regeln. Auch können die Firewalloptionen im IPCop nur vom Blauen auf das Grüne nicht aber auf das Rote Interface greifen. Von daher ist die IPCop Firewall nicht zu gebrauchen.
Grundsätzlich spielt das für mich aber keine Rolle, da ich Eindringlinge im WLAN bereits vor dem IPCop und nicht erst auf dem IPCop ausfiltern möchte.
Grundsätzlich spielt das für mich aber keine Rolle, da ich Eindringlinge im WLAN bereits vor dem IPCop und nicht erst auf dem IPCop ausfiltern möchte.
Moin.
zusammengefaßt?
Gruß Alfred
Was sind denn das alles für Dienste? Bekommt man die nicht über Portbereiche64 Regeln wären zwar gut, reichen aber für meine Regeln leider noch nicht aus (Deny-All Konzept und sämtliche benötigten Ports freigegeben). Wären auch 128 möglich?
zusammengefaßt?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Nein leider nicht. Hab ich schon sortiert.
Im Grunde genommen sind es die Standarddienste (z.B. DHCP, DNS, FTP, HTTP, HTTPS, Proxyports, TFTP, IMAP, NNTP, POP3, SMTP, SNMP, TELNET, PPTP, IPSec, L2TP und einige andere), Messenger (wie z.B. ICQ, MSN, Yahoo! oder Skype) sowie viele Spiele die eine Verbindung ins Internet für Onlinespiele benötigen.
Das hört sich jetzt alles ein wenig viel für eine Produktivumgebung an. Wir nutzen die Technik um ein nicht mit DSL versorgten Ort mit Internet zu versorgen. Da wir ungefähr 100 Computer mit Internet versorgen (in Form eines Vereins zum Selbstkostenpreis für jedes Mitglied). Und da Filesharing und andere Dienste bei uns nicht erwünscht sind, aber viele andere Dienste einfach erlaubt sind, müssen wir über ein Deny-All Konzept fahren. Zum Internet sind diese Dienste über die normale Firewall im Router (ebenfalls Deny-All Konzept) erlaubt bzw. gesperrt. Da wir aber auch nur diese Ports zu unseren Servern (IPCop) lassen wollen und die Clients im selben Netz sein müssen, kommt halt der Protokoll-Filter zum Einsatz. Daher wären 128 Regeln für uns eigentlich minimum.
Im Grunde genommen sind es die Standarddienste (z.B. DHCP, DNS, FTP, HTTP, HTTPS, Proxyports, TFTP, IMAP, NNTP, POP3, SMTP, SNMP, TELNET, PPTP, IPSec, L2TP und einige andere), Messenger (wie z.B. ICQ, MSN, Yahoo! oder Skype) sowie viele Spiele die eine Verbindung ins Internet für Onlinespiele benötigen.
Das hört sich jetzt alles ein wenig viel für eine Produktivumgebung an. Wir nutzen die Technik um ein nicht mit DSL versorgten Ort mit Internet zu versorgen. Da wir ungefähr 100 Computer mit Internet versorgen (in Form eines Vereins zum Selbstkostenpreis für jedes Mitglied). Und da Filesharing und andere Dienste bei uns nicht erwünscht sind, aber viele andere Dienste einfach erlaubt sind, müssen wir über ein Deny-All Konzept fahren. Zum Internet sind diese Dienste über die normale Firewall im Router (ebenfalls Deny-All Konzept) erlaubt bzw. gesperrt. Da wir aber auch nur diese Ports zu unseren Servern (IPCop) lassen wollen und die Clients im selben Netz sein müssen, kommt halt der Protokoll-Filter zum Einsatz. Daher wären 128 Regeln für uns eigentlich minimum.