Business LAN R1011 -> Deny_All Problem >GELÖST<

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 09:13

Habe einen Business LAN R1011 mit der Firmware 6.02.0008. Die Konfig-Dialoge der Firewall dürften aber alle ziemlich gleich sein, schätze ich mal.
Ich habe mit Deny_All zuerst alles dicht gemacht und dann Http/Https sowie DNS aufgemacht. Trotzdem lässt die FW nichts durch. Laut Referenzhandbuch sortiert sich das Gerät selbst die Reihenfolge der Regeln. Aber auch wenn ich Prioritäten vergebe, werden diese scheinbar nicht berücksichtigt. Schätze mal, das ich noch etwas übersehen habe, kann mir aber momentan nicht vorstellen was !?

Wie ihr unschwer erkennt, bin ich kein Profi, aber ganz auf der Brennsupp'n bin ich auch nicht daher g'schwommen.

sc

filou · Beitrag von **filou** » 14 Mär 2006, 09:34

Hallo erstmal!

Mach doch mal einen Screenshot, oder die FW-Liste deines Lancom hier online.

Du erreichst das über Webconfig http://deineRouterIP/config/1/10/22/ *

*Sitze gerade nicht an einem Lancom und weiß nicht, ob sich das mit LCOS 6 geändert hat. Wenn ja, dann schau einfach mal im Webconfig, ob du die Liste findest und bring die hier ein. Dann schau´mer uns die mal an

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 13:15

Hier ist ein Link zu dem Bild, in dem die Shots der FW-Dialoge zusammengelegt sind :
http://www.kram-hochladen.de/index.php? ... IzMzc3MDcv
Dieser Link ist bis zum 14.April online.

Habe auch gleich auf 6.04.0015 aktualisiert. Eines sollte evtl. noch gesagt werden; ich hab eine ADSL mit SDSL gebündlete Leitung. Hierüber läuft dann die 'default'-Route. Dürfte meines Erachtens aber nichts damit zu tun haben.

sc

tunichtgut · Beitrag von **tunichtgut** » 14 Mär 2006, 13:20

Bei einer ALLOW Regel wäre die Packet-Aktion 'Übertragen' auszuwählen...

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 13:34

Ihr seid ja hier von der schnellen Truppe!

DNS und HTTP haben ein 'Übertragen' bekommen. 'Zurückweisen' ist nur für die DENY_ALL - Regel angegeben - sonst würde ja doch wieder alles durchgehen.
Oder sehe ich das falsch ?

tunichtgut · Beitrag von **tunichtgut** » 14 Mär 2006, 13:40

Schau mal in Deinen Screenshot, da steht die Allow Regel definitiv aus 'zurückweisen', ergo macht der Router wozu er konfiguriert wurde...

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 13:53

Das tut mir jetzt aber leid. Da habe ich ein bischen zu früh fotografiert! Nach dem OK steht diese Regel natürlich auf 'Übertragen'!!
Daher kommt ja meine Frage:
Dem Regelwerk nach werden HTTP/HTTPS sowie DNS übertragen, der Rest zurückgewiesen.
Und trozdem wird einfach ALLES blockiert!
Oder gibts da noch etwas zu beachten?

sc
PS: Ihr seid echt schnell.

tunichtgut · Beitrag von **tunichtgut** » 14 Mär 2006, 14:00

spontanchaotiker hat geschrieben:Das tut mir jetzt aber leid. Da habe ich ein bischen zu früh fotografiert! Nach dem OK steht diese Regel natürlich auf 'Übertragen'!!
Daher kommt ja meine Frage:
Dem Regelwerk nach werden HTTP/HTTPS sowie DNS übertragen, der Rest zurückgewiesen.
Und trozdem wird einfach ALLES blockiert!
Oder gibts da noch etwas zu beachten?

sc
PS: Ihr seid echt schnell.

Kann nicht sein, meine Fw ist genauso konfiguriert ...

Schick mir dir Config mal als P.N., wenn der Screenshot nicht die tatsächliche Konfiguration zeigt, hats keinen Wert.

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 14:24

Das ist tatsächlich irreführend; hier das Regelwerk; der Stern trennt die Spalten:
Name*Prot.Quelle*Ziel*Aktion*verknuepft*Prio*Aktiv*VPN-Regel*Stateful*Rtg-Tag *Kommentar
ALLOW_DNS*UDP*ANYHOST %S53*ANYHOST*%Lcds0 @i %A*ja*0*ja*nein*ja*0 *namensaufloesung erlaubt
ALLOW_HTTP*TCP*ANYHOST %S80,443,591,8008,8080*ANYHOST*%Lcds0 @i %A*ja*0*ja*nein*ja*0*Http/Https erlaubt
DENY_ALL*ANY*ANYHOST*ANYHOST*%Lcds0 @i %R*nein*0*ja*nein*ja*0*alles blockieren

Ist zwar etwas unleserlich, aber es steht alles drin.

sc

backslash · Beitrag von **backslash** » 14 Mär 2006, 14:38

Hi spontanchaotiker

wenn in der Allow-Regel das Häkchen bei "weitere Regeln beachten" gesetzt ist, dann tut die Firewall genau das: Sie sucht die nächste Regel die matcht - und das ist die Deny-All Regel, wodurch natürlich alles verworfen wird...

Gruß
Backslash

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 16:41

Vielen Dank !!
Das wars.
Hab gemeint, das diese Funktion die normalen Regeln betreffen.

Ihr habt mir sehr geholfen.

sc

filou · Beitrag von **filou** » 14 Mär 2006, 17:20

Ja, das mit den "Weitere Regeln beachten" ist das erstemal wenn man rangeht, etwas verwirrend ....aber nu isses ja gelöst. Kam erst jetzt wieder dazu.

Aber wenn du wieder die Einstellungen postest, dann mach doch einen Screenshot der Tabelle aus dem Webconfig.
Beim 1722 finde ich die hier:
http://lancom1722/config/2/8/10/3/

Oder auch: Experten-Konfiguration/Setup/IP-Router/Firewall

Nehme aber an, dass das bei allen Lancom ab FW 6 so ist.

spontanchaotiker · Beitrag von **spontanchaotiker** » 14 Mär 2006, 17:31

Klar doch, mach ich.

Und danke nochmal für die schnelle Hilfe.

sc