Deny-All, warum wird alles blockiert trotz allow-regeln?
Moderator: Lancom-Systems Moderatoren
Deny-All, warum wird alles blockiert trotz allow-regeln?
Hallo,
ich hab folgende IPv4-Regeln definiert. Sobald ich die Deny-All-Regel aktiviere, geht kein HTTP(S) mehr durch. Was mach ich falsch?
Danke!
ich hab folgende IPv4-Regeln definiert. Sobald ich die Deny-All-Regel aktiviere, geht kein HTTP(S) mehr durch. Was mach ich falsch?
Danke!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Mit der Priorität 9000 steht die Regel vor allen anderen Regeln.
Priorität auf 0 ändern oder alle anderen Regeln auf Priorität 9001 (oder höher) ändern.
Priorität auf 0 ändern oder alle anderen Regeln auf Priorität 9001 (oder höher) ändern.
LCS NC/WLAN
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Fehlt da nicht auch noch eine Accept-Regel für HTTP(S)?
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Ja klar sorry, hatte ich vor dem Screenshot testweise gelöscht.
Hatte ich auch versucht, Deny-Regel auf 0 und Allow HTTP(S) auf 1, ging nicht.
Was könnt's noch sein?
Danke!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Hi felixo87
ansonsten kann dir auch ein IP-Router-Trace und ein Firewall-Trace bei der Fehlersuche weiterhelfen...
Gruß
Backslash
gibt mal auf dem CLI "show filter" ein. Das zeigt dir, welche Filter die Firewall aus den Regeln erzeugt hat. Diese Filter werden beim Erstellen einer Session "von oben nach unten" abegarbeitet und der erste matchende Filter wird genommen...Was könnt's noch sein?
ansonsten kann dir auch ein IP-Router-Trace und ein Firewall-Trace bei der Fehlersuche weiterhelfen...
Gruß
Backslash
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Hilft das?backslash hat geschrieben: ↑30 Jan 2024, 11:42 Hi felixo87
gibt mal auf dem CLI "show filter" ein. Das zeigt dir, welche Filter die Firewall aus den Regeln erzeugt hat. Diese Filter werden beim Erstellen einer Session "von oben nach unten" abegarbeitet und der erste matchende Filter wird genommen...Was könnt's noch sein?
ansonsten kann dir auch ein IP-Router-Trace und ein Firewall-Trace bei der Fehlersuche weiterhelfen...
Gruß
Backslash
Code: Alles auswählen
Ausgaben des Befehls
Filter 00000001 from Rule ALLOW_HTTP:
Protocol: 6
Src: 192.168.175.0/24 0-0 (LAN ifc INTRANET)
Dst: 0.0.0.0/0 80-80
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000002 from Rule DENY_ALL:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: 0.0.0.0/0 0-0
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
drop
registered applications
application: SIP-ALG handle: 1
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Hi felixo87.
damit funktioniert nur HTTP... HTTPS schonmal nicht. und auch DNS-Anfragen werden blockiert. Damit hast du dich effektiv aus dem Internet ausgesperrt...
Bist du sicher, daß das aus dem von dir geposteten Regelsatz erzeugt wurde? Oder hast du den Regelsatz so eingedampft, daß du nur noch zwei Regeln hast (ALLOW_HTTP nur mit Protokoll HTTP und DENY_ALL)?
wenn ich bei mir folgenden Regelsatz (entsprechend deinem ursprünglich geposteten) erstelle:
dann zeigt mir "show filter" wie erwartet:
Gruß
Backslash
damit funktioniert nur HTTP... HTTPS schonmal nicht. und auch DNS-Anfragen werden blockiert. Damit hast du dich effektiv aus dem Internet ausgesperrt...
Bist du sicher, daß das aus dem von dir geposteten Regelsatz erzeugt wurde? Oder hast du den Regelsatz so eingedampft, daß du nur noch zwei Regeln hast (ALLOW_HTTP nur mit Protokoll HTTP und DENY_ALL)?
wenn ich bei mir folgenden Regelsatz (entsprechend deinem ursprünglich geposteten) erstelle:
Code: Alles auswählen
[Test]root@:/Setup/IP-Router/Firewall/Rules
> l
Name Prot. Source Destination Action LB-Policy LB-Switchover Linked Prio Firewall-Rule Stateful Src-Tag Rtg-tag Comment
======================= -------------------------------- ------------------- ---------------------- ------------- ----------------------------------------------------------------------------------------------------------------------------
WINS UDP TCP anyhost netbios anyhost internet-filter No No 0 Yes Yes 0 0 block NetBIOS/WINS name resolution via DNS
ALLOW_DNS_FORWARDING DNS localnet anyhost accept No No 0 Yes Yes 0 0
ALLOW_HTTP HTTP,HTTPS localnet anyhost accept No No 0 Yes Yes 0 0
ALLOW_EMAIL MAIL,NEWS localnet anyhost accept No No 0 Yes Yes 0 0
ALLOW_FTP FTP localnet anyhost accept No No 0 Yes Yes 0 0
DENY_ALL any anyhost anyhost reject No No 0 Yes Yes 0 0
CONTENT-FILTER TCP LOCALNET WEB CONTENT-FILTER-BASIC No No 9999 No Yes 0 0 pass web traffic to Content-Filter
Code: Alles auswählen
[Test]root@:/Setup/IP-Router/Firewall/Rules
> show filter
Filter 00000001 from Rule WINS:
Protocol: 17
Src: 0.0.0.0/0 137-139
Dst: 0.0.0.0/0 0-0
use routing tag 0
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Filter 00000002 from Rule ALLOW_DNS_FORWARDING:
Protocol: 17
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 53-53
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000003 from Rule WINS:
Protocol: 6
Src: 0.0.0.0/0 137-139
Dst: 0.0.0.0/0 0-0
use routing tag 0
conditional: if on default route
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
Filter 00000004 from Rule ALLOW_HTTP:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 443-443
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000005 from Rule ALLOW_EMAIL:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 143-143
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000006 from Rule ALLOW_EMAIL:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 119-119
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000007 from Rule ALLOW_EMAIL:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 110-110
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000008 from Rule ALLOW_HTTP:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 80-80
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 00000009 from Rule ALLOW_DNS_FORWARDING:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 53-53
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 0000000a from Rule ALLOW_EMAIL:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 25-25
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 0000000b from Rule ALLOW_FTP:
Protocol: 6
Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT)
Dst: 0.0.0.0/0 21-21
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Filter 0000000c from Rule DENY_ALL:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: 0.0.0.0/0 0-0
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
reject
registered applications
application: SIP-ALG handle: 1
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
[Test]root@:/Setup/IP-Router/Firewall/Rules
>
Backslash
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Ja sorry, das war verkürzt.backslash hat geschrieben: ↑31 Jan 2024, 13:31 Hi felixo87.
damit funktioniert nur HTTP... HTTPS schonmal nicht. und auch DNS-Anfragen werden blockiert. Damit hast du dich effektiv aus dem Internet ausgesperrt...
Bist du sicher, daß das aus dem von dir geposteten Regelsatz erzeugt wurde? Oder hast du den Regelsatz so eingedampft, daß du nur noch zwei Regeln hast (ALLOW_HTTP nur mit Protokoll HTTP und DENY_ALL)?
wenn ich bei mir folgenden Regelsatz (entsprechend deinem ursprünglich geposteten) erstelle:dann zeigt mir "show filter" wie erwartet:Code: Alles auswählen
[Test]root@:/Setup/IP-Router/Firewall/Rules > l Name Prot. Source Destination Action LB-Policy LB-Switchover Linked Prio Firewall-Rule Stateful Src-Tag Rtg-tag Comment ======================= -------------------------------- ------------------- ---------------------- ------------- ---------------------------------------------------------------------------------------------------------------------------- WINS UDP TCP anyhost netbios anyhost internet-filter No No 0 Yes Yes 0 0 block NetBIOS/WINS name resolution via DNS ALLOW_DNS_FORWARDING DNS localnet anyhost accept No No 0 Yes Yes 0 0 ALLOW_HTTP HTTP,HTTPS localnet anyhost accept No No 0 Yes Yes 0 0 ALLOW_EMAIL MAIL,NEWS localnet anyhost accept No No 0 Yes Yes 0 0 ALLOW_FTP FTP localnet anyhost accept No No 0 Yes Yes 0 0 DENY_ALL any anyhost anyhost reject No No 0 Yes Yes 0 0 CONTENT-FILTER TCP LOCALNET WEB CONTENT-FILTER-BASIC No No 9999 No Yes 0 0 pass web traffic to Content-Filter
GrußCode: Alles auswählen
[Test]root@:/Setup/IP-Router/Firewall/Rules > show filter Filter 00000001 from Rule WINS: Protocol: 17 Src: 0.0.0.0/0 137-139 Dst: 0.0.0.0/0 0-0 use routing tag 0 conditional: if on default route Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: reject Filter 00000002 from Rule ALLOW_DNS_FORWARDING: Protocol: 17 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 53-53 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 00000003 from Rule WINS: Protocol: 6 Src: 0.0.0.0/0 137-139 Dst: 0.0.0.0/0 0-0 use routing tag 0 conditional: if on default route Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: reject Filter 00000004 from Rule ALLOW_HTTP: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 443-443 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 00000005 from Rule ALLOW_EMAIL: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 143-143 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 00000006 from Rule ALLOW_EMAIL: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 119-119 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 00000007 from Rule ALLOW_EMAIL: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 110-110 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 00000008 from Rule ALLOW_HTTP: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 80-80 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 00000009 from Rule ALLOW_DNS_FORWARDING: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 53-53 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 0000000a from Rule ALLOW_EMAIL: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 25-25 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 0000000b from Rule ALLOW_FTP: Protocol: 6 Src: 172.16.100.0/24 0-0 (LAN ifc MANAGEMENT) Dst: 0.0.0.0/0 21-21 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept Filter 0000000c from Rule DENY_ALL: Protocol: 0 Src: 0.0.0.0/0 0-0 Dst: 0.0.0.0/0 0-0 use routing tag 0 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: reject registered applications application: SIP-ALG handle: 1 Limit per conn.: after transmitting or receiving of 0 packets actions after exceeding the limit: accept [Test]root@:/Setup/IP-Router/Firewall/Rules >
Backslash
Es ging jetzt, nachdem ich die Regeln nochmal per Lanconfig statt über die Weboberfläche angelegt hab, scheinbar ist die Weboberfläche nicht ganz bugfrei.
Was mich irritiert ist dass in Lanconfig Quell- und Ziel-Dienste(= Protokolle) eigene Felder sind, während es in der Weboberfläche nur ein Feld gibt.
Ist es korrekt angelegt wenn in Lanconfig als "Quell-Dienst" immer "Alle" angegeben ist und die tatsächlichen entsprechenden Protokolle jeweils nur beim "Ziel-Dienst"? (Zumindest scheint es damit jetzt so zu funktionieren.)
Das einzige was komisch ist dass ich weiterhin http-Webseiten erreiche, auch wenn ich nur https erlaube.
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Hi felixo87
In der IPv6-Firewall ist das schöner gelöst - da gibt es wieder die explizite Dienst-Spalte und den jeweiligen Diensten wird mitgegeben, ob sie am Ziel- oder Quell-Port festgemacht werden...
Gruß
Backslash
Das hat am Ende historische Gründe... Eigentlich ist die Spalte "Protokoll" überflüssig. Wenn aber in der Spalte "Protokoll" etwas anseres als "ANY" steht, dann schiebt der Regelparser das intern die die Spalte "Destination", denn der Dienst wird über den Zielport bestimmt (einzige Ausnahme ist die merkwürdig anmutende "WINS"-Regel, die den Dienst über den Quellport festmacht).Was mich irritiert ist dass in Lanconfig Quell- und Ziel-Dienste(= Protokolle) eigene Felder sind, während es in der Weboberfläche nur ein Feld gibt.
ja, das ist korrekt, das der Dienst wie oben bereits gesagt durch den Ziellport bestimmt wird... Der Quellport wird vom Client i.A. zufällig gewählt.Ist es korrekt angelegt wenn in Lanconfig als "Quell-Dienst" immer "Alle" angegeben ist und die tatsächlichen entsprechenden Protokolle jeweils nur beim "Ziel-Dienst"? (Zumindest scheint es damit jetzt so zu funktionieren.)
In der IPv6-Firewall ist das schöner gelöst - da gibt es wieder die explizite Dienst-Spalte und den jeweiligen Diensten wird mitgegeben, ob sie am Ziel- oder Quell-Port festgemacht werden...
bist du sicher? Heutzutage wechseln Browser automatisch auf HTTPS... und wenn wirklich eine Verbindung über TCP-Port 80 zustande kommt, dann hast du das auch im Regelsatz erlaubt... wie schon geschrieben: ein "show filter" zeigt dir, was die Firewall aus deinem Regelsatz gemacht hatDas einzige was komisch ist dass ich weiterhin http-Webseiten erreiche, auch wenn ich nur https erlaube.
Gruß
Backslash
Re: Deny-All, warum wird alles blockiert trotz allow-regeln?
Danke dir für die ausführlichen Erklärungen!
Komischerweise kann ich wenn ich HTTP nicht erlaubt hab im Chrome http://www.dolekemp96.org/main.htm öffnen, in Edge nicht. Aber vielleicht macht Chrome da irgendwelche Tricks und lädt die Seite anders.bist du sicher? Heutzutage wechseln Browser automatisch auf HTTPS... und wenn wirklich eine Verbindung über TCP-Port 80 zustande kommt, dann hast du das auch im Regelsatz erlaubt... wie schon geschrieben: ein "show filter" zeigt dir, was die Firewall aus deinem Regelsatz gemacht hatDas einzige was komisch ist dass ich weiterhin http-Webseiten erreiche, auch wenn ich nur https erlaube.