Hallo ich habe eine Firewall nach der Deny All Methode eingerichtet.
Wie gebe ich den hierbei die Möglichkeit frei, Downloads von Webseiten zu ermöglichen? zb. Softwareupdates von http://www.lancom.de
Vielen Dank,
Christoph
download von Webseite ermöglichen
Moderator: Lancom-Systems Moderatoren
-
Aeroschmelz
- Beiträge: 138
- Registriert: 01 Feb 2006, 16:53
Zwei ALLOW_Regel mit den jeweiligen freigegebenen Ports und der IP Adresse der Webseite
d.h. eine ALLOW_IN von der IP Webseite an alle lokalen Stationen
eine ALLOW_OUT von allen lokalen Stationen an die IP Webseite.
d.h. eine ALLOW_IN von der IP Webseite an alle lokalen Stationen
eine ALLOW_OUT von allen lokalen Stationen an die IP Webseite.
Anbindung: T-DSL 3000 (3000/384)
Router: Lancom 1722 VoIP Annex B mit Firmware 6.2x
VoIP Provider: Portunity
TK-Anlage: Auerswald Business
Telefone: 10 Auerswald COMfort 2000 Plus Systemtelefone
Router: Lancom 1722 VoIP Annex B mit Firmware 6.2x
VoIP Provider: Portunity
TK-Anlage: Auerswald Business
Telefone: 10 Auerswald COMfort 2000 Plus Systemtelefone
Das ist richtig, jedoch nur wenn die SPI-Firewall Funktion genutzt wird, sprich der Haken in der Regel "Diese Regel hält Verbindungszustände nach"gesetzt wurde.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo!
Ich habe noch eine weiterfühende Frage zu dem Thema, deswegen klinke ich mich hier einfach mal ein^^
Was bewirkt die Option "Diese Regel hält Verbindungszustände nach" genau?
Als ich sie in einer Sperr-Regel gelöscht hatte bei aktivierter Firewall mitsamt SPI, führte dies dazu, daß ein im LAN hängender FTP-Server gesponnen hat. Mal kam man drauf, mal nicht, ab & zu konnte man sich eine Datei herunterladen, mal sah man keine Verzeichnisauflistung...das Handbuch erklärt diese Option leider nur unzureichend.
Auch verwirrt mich, warum man bei SPI nur eine Regel brauchen soll.
Ich habe noch eine weiterfühende Frage zu dem Thema, deswegen klinke ich mich hier einfach mal ein^^
Was bewirkt die Option "Diese Regel hält Verbindungszustände nach" genau?
Als ich sie in einer Sperr-Regel gelöscht hatte bei aktivierter Firewall mitsamt SPI, führte dies dazu, daß ein im LAN hängender FTP-Server gesponnen hat. Mal kam man drauf, mal nicht, ab & zu konnte man sich eine Datei herunterladen, mal sah man keine Verzeichnisauflistung...das Handbuch erklärt diese Option leider nur unzureichend.
Auch verwirrt mich, warum man bei SPI nur eine Regel brauchen soll.
Hi van Grunz
Bei einer Allow-Regel hingegen schon, da auch die Erkennung des FTPs und das Öffnen der nötigen Ports zum Nachhalten der Verbindungszustände gehört - und wenn das deaktiviert wird, ist alles was passiert reine Glückssache...
Gruß
Backslash
das was der Name sagt: Verbindungszustände (z.B. beim TCP: SYN -> SYN/ACK -> ACK -> ... -> FIN -> FIN/ACK) werden nachgehalten und bei Fehlern wird die Session geschlossen.Was bewirkt die Option "Diese Regel hält Verbindungszustände nach" genau?
Aber bei einer Sperrregel kann ich mir das nicht vorstellen, da diese immer Stateless ist - es wird halt alles geblockt, was matcht..Als ich sie in einer Sperr-Regel gelöscht hatte bei aktivierter Firewall mitsamt SPI, führte dies dazu, daß ein im LAN hängender FTP-Server gesponnen hat. Mal kam man drauf, mal nicht, ab & zu konnte man sich eine Datei herunterladen, mal sah man keine Verzeichnisauflistung...das Handbuch erklärt diese Option leider nur unzureichend.
Bei einer Allow-Regel hingegen schon, da auch die Erkennung des FTPs und das Öffnen der nötigen Ports zum Nachhalten der Verbindungszustände gehört - und wenn das deaktiviert wird, ist alles was passiert reine Glückssache...
Gruß
Backslash
Hallo backslash,
Ich hatte eine bestimmte IP und eine bestimmte MAC ausgesperrt. Dennoch war eine völlig andere IP respektive MAC davon betroffen (auf welcher der FTP läuft). Ich kann mir das nur so erklären, daß das Abarbeiten der Regel den aktuellen Verkehr beeinflußt. Aber Du wirst das sicher besser wissen als ich
Gruß,
Michael
Ich kann mit dem Begriff "nachhalten" nicht so recht etwas anfangen. Es wäre nett, wenn Du mir das etwas genauer erklären könntest.backslash hat geschrieben:das was der Name sagt: Verbindungszustände (z.B. beim TCP: SYN -> SYN/ACK -> ACK -> ... -> FIN -> FIN/ACK) werden nachgehalten und bei Fehlern wird die Session geschlossen.
Es sind nur Sperr-Regeln in der Firewall vorhanden.Aber bei einer Sperrregel kann ich mir das nicht vorstellen, da diese immer Stateless ist - es wird halt alles geblockt, was matcht..
Was mich wundert:Bei einer Allow-Regel hingegen schon, da auch die Erkennung des FTPs und das Öffnen der nötigen Ports zum Nachhalten der Verbindungszustände gehört - und wenn das deaktiviert wird, ist alles was passiert reine Glückssache...
Ich hatte eine bestimmte IP und eine bestimmte MAC ausgesperrt. Dennoch war eine völlig andere IP respektive MAC davon betroffen (auf welcher der FTP läuft). Ich kann mir das nur so erklären, daß das Abarbeiten der Regel den aktuellen Verkehr beeinflußt. Aber Du wirst das sicher besser wissen als ich
Gruß,
Michael
Nachtrag:
Folgendes Szenario:
Firewall aktiv, Sperr-Regeln vorhanden, hintendran keine weiteren Regeln, überall steht drin, daß die Verbindungszustände nachgehalten und weitere Regeln beachtet werden sollen
Nun habe ich besagten FTP-Server am Laufen. Kumpel #1 kommt per TLS-Verbindung wie auch unverschlüsselt drauf, Kumpel #2 jedoch nur unverschlüsselt; Den Port hierfür habe ich selbst gewählt, es ist also nicht 20/21/22; auch habe ich nur zwei Control-Ports (Port X & X+1) sowie definierte Datenports weitergeleitet.
Wenn ich nun am Ende der Firewall-Regeln eine weitere erstelle, die primär die Funktion zur Fehlersuche hatte, nämlich sämtliche Pakete explizit weiterzuleiten und den Vorgang an den LANmonitor zu senden, kommt Kumpel #2 plötzlich auch per TLS-Verbindung auf den FTP-Server.
Wieso muß ich also eine Regel erstellen, die normalerweise nicht nötig wäre? Oder habe ich das Konzept der Firewall falsch verstanden?
Ratsuchend grüßt
Michael
PS: Kumpel #2 hat einen LinkSys WRT54GL, falls das von Interesse ist
Folgendes Szenario:
Firewall aktiv, Sperr-Regeln vorhanden, hintendran keine weiteren Regeln, überall steht drin, daß die Verbindungszustände nachgehalten und weitere Regeln beachtet werden sollen
Nun habe ich besagten FTP-Server am Laufen. Kumpel #1 kommt per TLS-Verbindung wie auch unverschlüsselt drauf, Kumpel #2 jedoch nur unverschlüsselt; Den Port hierfür habe ich selbst gewählt, es ist also nicht 20/21/22; auch habe ich nur zwei Control-Ports (Port X & X+1) sowie definierte Datenports weitergeleitet.
Wenn ich nun am Ende der Firewall-Regeln eine weitere erstelle, die primär die Funktion zur Fehlersuche hatte, nämlich sämtliche Pakete explizit weiterzuleiten und den Vorgang an den LANmonitor zu senden, kommt Kumpel #2 plötzlich auch per TLS-Verbindung auf den FTP-Server.
Wieso muß ich also eine Regel erstellen, die normalerweise nicht nötig wäre? Oder habe ich das Konzept der Firewall falsch verstanden?
Ratsuchend grüßt
Michael
PS: Kumpel #2 hat einen LinkSys WRT54GL, falls das von Interesse ist
Hi van Grunz
Aber was sagt denn ein Firewall-Trace, wenn sich Kumpel#2 verschlüsselt auf dem Server verbinden will.
Poste doch mal deine Regeln...
Gruß
Backslash
was verstehst du an dem Wort "nachhalten" nicht? Schau mal in den Duden...Ich kann mit dem Begriff "nachhalten" nicht so recht etwas anfangen. Es wäre nett, wenn Du mir das etwas genauer erklären könntest.
wie gesagt: bei Sperr-Regeln ist das egal, da sie immer stateless sind - verworfen ist verworfen.Firewall aktiv, Sperr-Regeln vorhanden, hintendran keine weiteren Regeln, überall steht drin, daß die Verbindungszustände nachgehalten
auch das ist bei einer Sperr-Regel egal, da die Regelbearbeitung mit dem Verwerfen eines Pakets abgebrochen wird...und weitere Regeln beachtet werden sollen
ehrlich gesagt, würde ich das in das Reich der Mythen und Legenden verweisen - es sei denn Kumpel#1 und Kumpel#2 machen generell etwas anderes (z.B. aktives/passives FTP)...Nun habe ich besagten FTP-Server am Laufen. Kumpel #1 kommt per TLS-Verbindung wie auch unverschlüsselt drauf, Kumpel #2 jedoch nur unverschlüsselt;
Aber was sagt denn ein Firewall-Trace, wenn sich Kumpel#2 verschlüsselt auf dem Server verbinden will.
Poste doch mal deine Regeln...
Gruß
Backslash
Tach zusammen,
Gruß,
Michael
Und? Was soll mir die Bedeutung sagen? Daß die Verbindungszustände weiterhin anhalten, super (ich gehe ohnehin davon aus, daß die Verbindungen weiterhin anhalten, wenn die Regel nicht greift; wenn sie greift, legt man ja in der Regel fest, was mit dieser Verbindung passiert). Ich kapiere trotzdem noch nicht den Zusammenhang zwischen dieser Option & einer Firewall-Regel, und, noch viel wichtiger: Die Beeinflussung des Datenstroms.backslash hat geschrieben:was verstehst du an dem Wort "nachhalten" nicht? Schau mal in den Duden...
Wenn nun aber keine Sperr-Regel greift, weil nichts darauf paßt? Dann müßten doch, weil keine weiteren Regeln folgen, die Pakete anstandslos passieren? Oder wird ausgewürfelt, was durch darf?wie gesagt: bei Sperr-Regeln ist das egal, da sie immer stateless sind - verworfen ist verworfen.
Siehe oben; es wird aber das betreffende Paket nicht verworfen, sonst hätte ich es mit dem LANmonitor entdeckt.auch das ist bei einer Sperr-Regel egal, da die Regelbearbeitung mit dem Verwerfen eines Pakets abgebrochen wird...
Wie mache ich denn ein Firewall-Trace? Vielleicht in der Expertenkonfiguration? Ich könnte auch ein normales Trace absetzen, aber das zeigt mir wahrscheinlich kaum an, ob die Ports anstandslos bedient werden.Aber was sagt denn ein Firewall-Trace, wenn sich Kumpel#2 verschlüsselt auf dem Server verbinden will.
Poste doch mal deine Regeln...
Wenn's was hilft? ...LANCOM 821+ hat geschrieben: Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv Stateful Rtg-Tag Kommentar
WINS TCP,UDP %S137-139 ANYHOST ANYHOST %Lcds0 @i %R ja 20 ja ja 0 block NetBIOS/WINS name resolution via DNS
LOG ANY ANYHOST ANYHOST %Lcds0 %A %N nein 0 ja ja 0
SPERRE_AUSGEHEND ANY %E[MAC-Adresse] ANYHOST %Lgds0 %R %N ja 10 nein ja 0
SPERRE_EINGEHEND ANY ANYHOST %E[MAC-Addresse] %Lcds0 %R %N ja 10 nein ja 0
SPERRE_192.168.0.15_AUSGEHEND ANY %A192.168.0.15 ANYHOST %Lcds0 %R %N ja 9 nein ja 0
SPERRE_192.168.0.15_EINGEHEND ANY ANYHOST %A192.168.0.15 %Lcds0 %R %N ja 9 nein ja 0
IP-SPERRE_REST-LAN_ABGEHEND ANY IP-SPERRE_REST-LAN_ABGEHEND5 ANYHOST %Lcds0 %R %N ja 1 nein ja 0 Ungenutzte IP-Bereiche sperren
IP-SPERRE_REST-LAN_EINGEHEND ANY ANYHOST IP-SPERRE_REST-LAN_EINGEHEND5 %Lcds0 %R %N ja 1 nein ja 0 Ungenutzte IP-Bereiche sperren
Gruß,
Michael