Deny-All, warum wird alles blockiert trotz allow-regeln?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
felixo87
Beiträge: 5
Registriert: 29 Jan 2024, 19:14

Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von felixo87 »

Hallo,

ich hab folgende IPv4-Regeln definiert. Sobald ich die Deny-All-Regel aktiviere, geht kein HTTP(S) mehr durch. Was mach ich falsch?

Danke!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
5624
Beiträge: 910
Registriert: 14 Mär 2012, 12:36

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von 5624 »

Mit der Priorität 9000 steht die Regel vor allen anderen Regeln.

Priorität auf 0 ändern oder alle anderen Regeln auf Priorität 9001 (oder höher) ändern.
LCS NC/WLAN
Hagen2000
Beiträge: 248
Registriert: 25 Jul 2008, 10:46

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von Hagen2000 »

Fehlt da nicht auch noch eine Accept-Regel für HTTP(S)?
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
felixo87
Beiträge: 5
Registriert: 29 Jan 2024, 19:14

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von felixo87 »

Hagen2000 hat geschrieben: 29 Jan 2024, 19:36 Fehlt da nicht auch noch eine Accept-Regel für HTTP(S)?
Ja klar sorry, hatte ich vor dem Screenshot testweise gelöscht.
5624 hat geschrieben: 29 Jan 2024, 19:29 Mit der Priorität 9000 steht die Regel vor allen anderen Regeln.

Priorität auf 0 ändern oder alle anderen Regeln auf Priorität 9001 (oder höher) ändern.
Hatte ich auch versucht, Deny-Regel auf 0 und Allow HTTP(S) auf 1, ging nicht.

Was könnt's noch sein?
Danke!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7028
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von backslash »

Hi felixo87
Was könnt's noch sein?
gibt mal auf dem CLI "show filter" ein. Das zeigt dir, welche Filter die Firewall aus den Regeln erzeugt hat. Diese Filter werden beim Erstellen einer Session "von oben nach unten" abegarbeitet und der erste matchende Filter wird genommen...

ansonsten kann dir auch ein IP-Router-Trace und ein Firewall-Trace bei der Fehlersuche weiterhelfen...

Gruß
Backslash
felixo87
Beiträge: 5
Registriert: 29 Jan 2024, 19:14

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von felixo87 »

backslash hat geschrieben: 30 Jan 2024, 11:42 Hi felixo87
Was könnt's noch sein?
gibt mal auf dem CLI "show filter" ein. Das zeigt dir, welche Filter die Firewall aus den Regeln erzeugt hat. Diese Filter werden beim Erstellen einer Session "von oben nach unten" abegarbeitet und der erste matchende Filter wird genommen...

ansonsten kann dir auch ein IP-Router-Trace und ein Firewall-Trace bei der Fehlersuche weiterhelfen...

Gruß
Backslash
Hilft das?

Code: Alles auswählen

Ausgaben des Befehls

Filter 00000001 from Rule ALLOW_HTTP:
  Protocol: 6
  Src: 192.168.175.0/24 0-0 (LAN ifc INTRANET)
  Dst: 0.0.0.0/0 80-80
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000002 from Rule DENY_ALL:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      drop


registered applications

application: SIP-ALG handle: 1
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept
backslash
Moderator
Moderator
Beiträge: 7028
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von backslash »

Hi felixo87.

damit funktioniert nur HTTP... HTTPS schonmal nicht. und auch DNS-Anfragen werden blockiert. Damit hast du dich effektiv aus dem Internet ausgesperrt...

Bist du sicher, daß das aus dem von dir geposteten Regelsatz erzeugt wurde? Oder hast du den Regelsatz so eingedampft, daß du nur noch zwei Regeln hast (ALLOW_HTTP nur mit Protokoll HTTP und DENY_ALL)?


wenn ich bei mir folgenden Regelsatz (entsprechend deinem ursprünglich geposteten) erstelle:

Code: Alles auswählen

[Test]root@:/Setup/IP-Router/Firewall/Rules
> l

Name                     Prot.       Source                Destination          Action                  LB-Policy      LB-Switchover  Linked      Prio   Firewall-Rule  Stateful  Src-Tag    Rtg-tag  Comment                                      
=======================  --------------------------------  -------------------  ----------------------  -------------  ----------------------------------------------------------------------------------------------------------------------------
WINS                     UDP TCP     anyhost netbios       anyhost              internet-filter                        No             No          0      Yes            Yes       0          0        block NetBIOS/WINS name resolution via DNS   
ALLOW_DNS_FORWARDING     DNS         localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
ALLOW_HTTP               HTTP,HTTPS  localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
ALLOW_EMAIL              MAIL,NEWS   localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
ALLOW_FTP                FTP         localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
DENY_ALL                 any         anyhost               anyhost              reject                                 No             No          0      Yes            Yes       0          0                                                     
CONTENT-FILTER           TCP         LOCALNET              WEB                  CONTENT-FILTER-BASIC                   No             No          9999   No             Yes       0          0        pass web traffic to Content-Filter           
dann zeigt mir "show filter" wie erwartet:

Code: Alles auswählen

[Test]root@:/Setup/IP-Router/Firewall/Rules
> show filter
Filter 00000001 from Rule WINS:
  Protocol: 17
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000002 from Rule ALLOW_DNS_FORWARDING:
  Protocol: 17
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 53-53
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000003 from Rule WINS:
  Protocol: 6
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000004 from Rule ALLOW_HTTP:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 443-443
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000005 from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 143-143
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000006 from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 119-119
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000007 from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 110-110
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000008 from Rule ALLOW_HTTP:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 80-80
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000009 from Rule ALLOW_DNS_FORWARDING:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 53-53
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 0000000a from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 25-25
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 0000000b from Rule ALLOW_FTP:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 21-21
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 0000000c from Rule DENY_ALL:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject


registered applications

application: SIP-ALG handle: 1
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept


[Test]root@:/Setup/IP-Router/Firewall/Rules
> 
Gruß
Backslash
felixo87
Beiträge: 5
Registriert: 29 Jan 2024, 19:14

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von felixo87 »

backslash hat geschrieben: 31 Jan 2024, 13:31 Hi felixo87.

damit funktioniert nur HTTP... HTTPS schonmal nicht. und auch DNS-Anfragen werden blockiert. Damit hast du dich effektiv aus dem Internet ausgesperrt...

Bist du sicher, daß das aus dem von dir geposteten Regelsatz erzeugt wurde? Oder hast du den Regelsatz so eingedampft, daß du nur noch zwei Regeln hast (ALLOW_HTTP nur mit Protokoll HTTP und DENY_ALL)?


wenn ich bei mir folgenden Regelsatz (entsprechend deinem ursprünglich geposteten) erstelle:

Code: Alles auswählen

[Test]root@:/Setup/IP-Router/Firewall/Rules
> l

Name                     Prot.       Source                Destination          Action                  LB-Policy      LB-Switchover  Linked      Prio   Firewall-Rule  Stateful  Src-Tag    Rtg-tag  Comment                                      
=======================  --------------------------------  -------------------  ----------------------  -------------  ----------------------------------------------------------------------------------------------------------------------------
WINS                     UDP TCP     anyhost netbios       anyhost              internet-filter                        No             No          0      Yes            Yes       0          0        block NetBIOS/WINS name resolution via DNS   
ALLOW_DNS_FORWARDING     DNS         localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
ALLOW_HTTP               HTTP,HTTPS  localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
ALLOW_EMAIL              MAIL,NEWS   localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
ALLOW_FTP                FTP         localnet              anyhost              accept                                 No             No          0      Yes            Yes       0          0                                                     
DENY_ALL                 any         anyhost               anyhost              reject                                 No             No          0      Yes            Yes       0          0                                                     
CONTENT-FILTER           TCP         LOCALNET              WEB                  CONTENT-FILTER-BASIC                   No             No          9999   No             Yes       0          0        pass web traffic to Content-Filter           
dann zeigt mir "show filter" wie erwartet:

Code: Alles auswählen

[Test]root@:/Setup/IP-Router/Firewall/Rules
> show filter
Filter 00000001 from Rule WINS:
  Protocol: 17
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000002 from Rule ALLOW_DNS_FORWARDING:
  Protocol: 17
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 53-53
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000003 from Rule WINS:
  Protocol: 6
  Src: 0.0.0.0/0 137-139
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  conditional: if on default route
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject

Filter 00000004 from Rule ALLOW_HTTP:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 443-443
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000005 from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 143-143
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000006 from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 119-119
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000007 from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 110-110
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000008 from Rule ALLOW_HTTP:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 80-80
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 00000009 from Rule ALLOW_DNS_FORWARDING:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 53-53
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 0000000a from Rule ALLOW_EMAIL:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 25-25
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 0000000b from Rule ALLOW_FTP:
  Protocol: 6
  Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
  Dst: 0.0.0.0/0 21-21
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept

Filter 0000000c from Rule DENY_ALL:
  Protocol: 0
  Src: 0.0.0.0/0 0-0
  Dst: 0.0.0.0/0 0-0
  use routing tag 0
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      reject


registered applications

application: SIP-ALG handle: 1
  Limit per conn.: after transmitting or receiving of 0 packets
  actions after exceeding the limit:
      accept


[Test]root@:/Setup/IP-Router/Firewall/Rules
> 
Gruß
Backslash
Ja sorry, das war verkürzt.

Es ging jetzt, nachdem ich die Regeln nochmal per Lanconfig statt über die Weboberfläche angelegt hab, scheinbar ist die Weboberfläche nicht ganz bugfrei.

Was mich irritiert ist dass in Lanconfig Quell- und Ziel-Dienste(= Protokolle) eigene Felder sind, während es in der Weboberfläche nur ein Feld gibt.
Ist es korrekt angelegt wenn in Lanconfig als "Quell-Dienst" immer "Alle" angegeben ist und die tatsächlichen entsprechenden Protokolle jeweils nur beim "Ziel-Dienst"? (Zumindest scheint es damit jetzt so zu funktionieren.)

Das einzige was komisch ist dass ich weiterhin http-Webseiten erreiche, auch wenn ich nur https erlaube.
backslash
Moderator
Moderator
Beiträge: 7028
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von backslash »

Hi felixo87
Was mich irritiert ist dass in Lanconfig Quell- und Ziel-Dienste(= Protokolle) eigene Felder sind, während es in der Weboberfläche nur ein Feld gibt.
Das hat am Ende historische Gründe... Eigentlich ist die Spalte "Protokoll" überflüssig. Wenn aber in der Spalte "Protokoll" etwas anseres als "ANY" steht, dann schiebt der Regelparser das intern die die Spalte "Destination", denn der Dienst wird über den Zielport bestimmt (einzige Ausnahme ist die merkwürdig anmutende "WINS"-Regel, die den Dienst über den Quellport festmacht).
Ist es korrekt angelegt wenn in Lanconfig als "Quell-Dienst" immer "Alle" angegeben ist und die tatsächlichen entsprechenden Protokolle jeweils nur beim "Ziel-Dienst"? (Zumindest scheint es damit jetzt so zu funktionieren.)
ja, das ist korrekt, das der Dienst wie oben bereits gesagt durch den Ziellport bestimmt wird... Der Quellport wird vom Client i.A. zufällig gewählt.
In der IPv6-Firewall ist das schöner gelöst - da gibt es wieder die explizite Dienst-Spalte und den jeweiligen Diensten wird mitgegeben, ob sie am Ziel- oder Quell-Port festgemacht werden...
Das einzige was komisch ist dass ich weiterhin http-Webseiten erreiche, auch wenn ich nur https erlaube.
bist du sicher? Heutzutage wechseln Browser automatisch auf HTTPS... und wenn wirklich eine Verbindung über TCP-Port 80 zustande kommt, dann hast du das auch im Regelsatz erlaubt... wie schon geschrieben: ein "show filter" zeigt dir, was die Firewall aus deinem Regelsatz gemacht hat

Gruß
Backslash
felixo87
Beiträge: 5
Registriert: 29 Jan 2024, 19:14

Re: Deny-All, warum wird alles blockiert trotz allow-regeln?

Beitrag von felixo87 »

backslash hat geschrieben: 31 Jan 2024, 15:30 Gruß
Backslash
Danke dir für die ausführlichen Erklärungen!
Das einzige was komisch ist dass ich weiterhin http-Webseiten erreiche, auch wenn ich nur https erlaube.
bist du sicher? Heutzutage wechseln Browser automatisch auf HTTPS... und wenn wirklich eine Verbindung über TCP-Port 80 zustande kommt, dann hast du das auch im Regelsatz erlaubt... wie schon geschrieben: ein "show filter" zeigt dir, was die Firewall aus deinem Regelsatz gemacht hat
Komischerweise kann ich wenn ich HTTP nicht erlaubt hab im Chrome http://www.dolekemp96.org/main.htm öffnen, in Edge nicht. Aber vielleicht macht Chrome da irgendwelche Tricks und lädt die Seite anders.
Antworten