Content-Filter und weitere Regeln in der Firewall

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Content-Filter und weitere Regeln in der Firewall

Beitrag von Hagen2000 »

Hallo zusammen,
wir benutzen seit einigen Wochen den Content-Filter und sind nun auf folgendes Problem gestoßen:
Ein Haken bei "Weitere Regeln beachten, nachdem diese Regel zutrifft" wirkt nicht bei der Firewall-Regel für den Content-Filter.

Hintergrund:
Wir setzen einen Load-Balancer mit zwei DSL-Verbindungen ein. Da es viele HTTP(S)-Server nicht mögen, wenn während einer Sitzung die IP-Adresse des Absenders wechselt, gibt es in der Firewall eine Tag-Regel, die HTTP- und HTTPS-Traffic fest auf eine der beiden Verbindungen bindet. Alle Pakete mit Tag werden im Router auf DSL-Anschluss 1 oder 2 in Abhängigkeit vom Tag geleitet. Nur ungetaggte Pakete erreichen den Load-Balancer. Das hat soweit mehrere Jahre einwandfrei funktioniert.

Seit Verwendung des Content-Filters greift nun offensichtlich die Tag-Regel nicht. Der Content-Filter wurde vom Assistenten mit Priorität 9999 eingerichtet, die übrigen Regeln haben - bis auf Ausnahmen - Priorität 0. Darüber hinaus setzt der Assistent beim Content-Filter nicht den Haken "Weitere Regeln beachten...". Dadurch allein kann man die Firewall-Konfiguration ganz schön aus dem Tritt bringen.

Aber wie gesagt, auch mit gesetztem Haken werden offenbar die weiteren Regeln nicht mehr durchlaufen. Ich halte das für einen Bug.

Als Workaround habe ich momentan die Tag-Regel mit einer höheren Priorität als die Regel für den Content-Filter versehen und bei der Tag-Regel den Haken "Weitere Regeln beachten..." gesetzt. Damit scheint es wieder zu funktionieren.

Handelt es sich bei dem beschriebenen Verhalten wirklich um einen Bug oder liegt ein Konfigurationsfehler vor?

Nachtrag: LCOS 10.12.0292RU6
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Content-Filter und weitere Regeln in der Firewall

Beitrag von backslash »

Hi Hagen2000,
Darüber hinaus setzt der Assistent beim Content-Filter nicht den Haken "Weitere Regeln beachten...". Dadurch allein kann man die Firewall-Konfiguration ganz schön aus dem Tritt bringen.
nun ja, du bekommst "nur" dann ein Problem, wenn du bestimmte Adreßbereiche sperren willst - aber das soll ja eigentlich der Kontentfilter übernehmen... Daher sehe ich das erstmal nicht als Problem. Abgesehen davon: ein Wizard ist halt nur für einfache Konfigurationen da...
Aber wie gesagt, auch mit gesetztem Haken werden offenbar die weiteren Regeln nicht mehr durchlaufen. Ich halte das für einen Bug.
doch sie werden durchlaufen aber...
Handelt es sich bei dem beschriebenen Verhalten wirklich um einen Bug oder liegt ein Konfigurationsfehler vor?
letztendlich ist das ein Konfigfurationsfehler...

Der Punkt ist: Wenn du mehrere Regeln hast, die alle ein unterschiedliches Tag setzes - welches soll genommen werden... Hier nimmt das LANCOM *immer* das Tag, das isn der ersten matchenden Regel gesetzt wird. Du mußt also tatsächlich die taggende Regel nach "oben" holen...


Ganz nebenbei: Für das Loadbalancer-Problem gibt es die Client-Bindung. Dann brauchst du nicht mehr manuell zu taggen, sondern überläßt dem Loadbalancer die Verteilung... Einzig die Parameter für die Client-Bindung sind problematisch (siehe http://www.lancom-forum.de/aktuelle-lan ... tml#p94993). Die Defaultwerte funktionieren nur dann, wenn du nicht sofort nach dem Login einen weiteren Link anklickst, sondern mindestens 10 Sekunden (=> "Balance-Sekunden") wartest. Du kanntst "Balance-Sekunden" auch auf 0 stellen, schaltest damit aber die Möglichkeit ab, daß der Loadbalancer das Nachladen von Bildern verteilt...


Gruß
Backslash
Hagen2000
Beiträge: 223
Registriert: 25 Jul 2008, 10:46

Re: Content-Filter und weitere Regeln in der Firewall

Beitrag von Hagen2000 »

Hallo backslash,

vielen Dank für die Erläuterungen. Somit habe ich ja jetzt die korrekte Konfiguration schon gefunden.

Aber zwei Fragen hätte ich noch:

1. In der Firewall-Regel und auch im Content-Filter selbst wird doch gar kein Tag gesetzt. Auch in der IP-Router / Filter-Liste steht beim Content-Filter in der Spalte "Rtg-Tag" der Wert 0. Bislang bin ich davon ausgegangen, dass der Wert 0 bedeutet, dass das Tag nicht gesetzt wird. Wodurch wird denn nun beim Content-Filter ein Tag gesetzt?

2. Gibt es im Referenzhandbuch eine Erläuterung für den Fall, dass mehrere Regeln das Tag setzen wollen? Ich habe da nichts finden können.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Antworten