Dynamische IP in Firewall
Moderator: Lancom-Systems Moderatoren
Dynamische IP in Firewall
Ich möchte in einem LC1790EF (aktuellste Firmware 10.8x inst.) eine Firewall-Regel erstellen, die es einem bestimmten Server aus unserem Netzwerk (der hat eine feste IP aus unserem Intranet) erlaubt, via FTP Daten an eine dynamische IP zu senden. Da wir eine Deny-All-Regel haben, muss ich alles explizit freigeben, was rein oder raus soll.
Soweit ich das sehen kann, kann Lancom keine dynamischen IP in der Firewall erfassen - oder übersehe ich da was? Gibt es einen Weg, das zu realisieren?
Hartmut
Soweit ich das sehen kann, kann Lancom keine dynamischen IP in der Firewall erfassen - oder übersehe ich da was? Gibt es einen Weg, das zu realisieren?
Hartmut
Re: Dynamische IP in Firewall
Hi harfes,
was meinst du mit "dynamsicher IP"? Ein lokalen Host der seine IP per DHCP bezieht oder ein Host im Internet der per DNS auflösbar ist.
in beiden Fällen muß das LANCOM entweder der DHCP-Server für den lokalen Host mit der dynamischen IP sein oder der DNS-Server für den anfragenden Host...
Im ersten Fall kannst du in der Stationsdenfinition auswählen, daß das Ziel eine "lokale Station" ist und den Namen anegeben, den der Host dem DHCP-Server mitteilt
Im zweiten Fall wählst du in dem Dialog ein DNS-Ziel aus, daß du unter Firewall -> Allgemein -> Applikationsdefinitionen als Wildcard-Ausdruck anlegen kannst. Diese Applikationsdefinitionen kannst du auch unter Firewall -> Allgemein -> DNS-Listen gruppieren. Ein DNS-Ziel ist entweder Applikationsdefinition oder eine gruppierte DNS-Liste.
Gruß
Backslash
was meinst du mit "dynamsicher IP"? Ein lokalen Host der seine IP per DHCP bezieht oder ein Host im Internet der per DNS auflösbar ist.
in beiden Fällen muß das LANCOM entweder der DHCP-Server für den lokalen Host mit der dynamischen IP sein oder der DNS-Server für den anfragenden Host...
Im ersten Fall kannst du in der Stationsdenfinition auswählen, daß das Ziel eine "lokale Station" ist und den Namen anegeben, den der Host dem DHCP-Server mitteilt
Im zweiten Fall wählst du in dem Dialog ein DNS-Ziel aus, daß du unter Firewall -> Allgemein -> Applikationsdefinitionen als Wildcard-Ausdruck anlegen kannst. Diese Applikationsdefinitionen kannst du auch unter Firewall -> Allgemein -> DNS-Listen gruppieren. Ein DNS-Ziel ist entweder Applikationsdefinition oder eine gruppierte DNS-Liste.
Gruß
Backslash
Re: Dynamische IP in Firewall
Hallo Backslash,
es handelt sich um einen externen FTP-Server, der nur über die dynamische IP erreichbar ist (also sowas wie ftpserver.dyndns.com). Wie gesagt hat der leider keine feste IP. Dann wird wohl der von Dir genannte zweite Fall zutreffen...
D.h. ich lege den ftpserver.dyndns.com als Applikationsdefinition an und wähle dann in der Firewall-Regel als Verbindungs-Ziel keine Station aus, sondern die Applikationsdefinition als DNS-Ziel aus - korrekt?
Hartmut
es handelt sich um einen externen FTP-Server, der nur über die dynamische IP erreichbar ist (also sowas wie ftpserver.dyndns.com). Wie gesagt hat der leider keine feste IP. Dann wird wohl der von Dir genannte zweite Fall zutreffen...
D.h. ich lege den ftpserver.dyndns.com als Applikationsdefinition an und wähle dann in der Firewall-Regel als Verbindungs-Ziel keine Station aus, sondern die Applikationsdefinition als DNS-Ziel aus - korrekt?
Hartmut
Re: Dynamische IP in Firewall
Das habe ich jetzt mal so angelegt, wie oben beschrieben -> funktioniert leider nicht! Der dynamische Name der Adresse lässt sich via ping problemlos auflösen, d.h. DNS funktioniert. Gebe ich die aus dem ping resultierende IP als Verbindungs-Ziel an, funktioniert es sofort (->die Regel funktioniert also). Nehme ich die IP im Ziel wieder heraus und nehme stattdessen das DNS-Ziel, funktioniert es nicht. Was ist zu tun bzw was mache ich falsch?
Hartmut
Hartmut
Re: Dynamische IP in Firewall
Hi harfes
Gruß
Backslash
das LANCOM muß dazu auf dem anfragenden Rechner als DNS-Server eingetragen sein... Dann funktioniert das eigentlich sofort. Sobald der Rechner die DNS-Anfrage stellt und die Adresse aufgelöst wird, wird diese in der Firewall übernommen. was du auch mit einem "show filter" kontollieren kannst.Was ist zu tun bzw was mache ich falsch?
Gruß
Backslash
Re: Dynamische IP in Firewall
Hallo Backslash,
der sendende Server hat den Lancom als DNS eingetragen und wenn ich einen tracert auf den externen FTP-Server mache, dann kommt als erster Hop auch der Lancom, danach dann irgendein Telekomserver usw. D.h. DNS und auch das Routing funktionieren...keine Ahnung was ich da noch machen soll.
Wo kann ich denn das "show filter" nutzen - ich vemute mal via SSH in den Lancom einloggen...und dann? Sorry, aber da kenne ich mich dann nicht mehr so gut aus.
Hartmut
der sendende Server hat den Lancom als DNS eingetragen und wenn ich einen tracert auf den externen FTP-Server mache, dann kommt als erster Hop auch der Lancom, danach dann irgendein Telekomserver usw. D.h. DNS und auch das Routing funktionieren...keine Ahnung was ich da noch machen soll.
Wo kann ich denn das "show filter" nutzen - ich vemute mal via SSH in den Lancom einloggen...und dann? Sorry, aber da kenne ich mich dann nicht mehr so gut aus.
Hartmut
Re: Dynamische IP in Firewall
Hi harfes
wenn du z.B. folgendes Konfiguriert hast
(das ist im Default schon vorhanden)
dann zeigt dir ein show filter zunächst folgendes:
wenn du dann eine DNS-Anfrage für Google stellst dann taucht im DNS-Trace ungefähr das hier auf:
und im "show filter" werden die dabei aufgelösten Adressen (hier im Beispiel nur eine) angezeigt:
Gruß
Backslash
genau...Wo kann ich denn das "show filter" nutzen - ich vemute mal via SSH in den Lancom einloggen...und dann? Sorry, aber da kenne ich mich dann nicht mehr so gut aus.
wenn du z.B. folgendes Konfiguriert hast
Code: Alles auswählen
root@:/Setup/App-Definitions/Destinations
> l goo
Name Wildcard-Expressions Application-Name Application-Prio
======================================--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GOOGLE google.de,*.google.de,google.com,*.google.com,gstatic.com,*.gstatic.com,*.1e100.net,g.cn Google 0
Code: Alles auswählen
root@:/Setup/IP-Router/Firewall/Rules
> l
Name Prot. Source Destination Action LB-Policy LB-Switchover Linked Prio Firewall-Rule Stateful Src-Tag Rtg-tag Comment
==================================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ALLOW-GOOGLE any anyhost GOOGLE accept No No 0 Yes Yes 0 0
dann zeigt dir ein show filter zunächst folgendes:
Code: Alles auswählen
[Test]root@:/Setup/App-Definitions/Destinations
> show filter
Filter 00000001 from Rule ALLOW-GOOGLE:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: GOOGLE 0-0
<no address available>
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
wenn du dann eine DNS-Anfrage für Google stellst dann taucht im DNS-Trace ungefähr das hier auf:
Code: Alles auswählen
[DNS] 2024/02/06 11:18:08,514
DNS Rx (INTRANET): Src-IP 192.168.1.3, RtgTag 0
Transaction ID: 0x1234
Flags: 0x0100 (Standard query, No error)
Queries
www.google.de: type A, class IN
STD A for www.google.de
Not found in local DNS database => forward to next server
[DNS] 2024/02/06 11:17:34,515 [info] : create new destination map entry for default route with routing tag 0
DestinationMapEntry for default route with routing tag 0 created
IPv4 destination: INTERNET
IPv4 DNS servers: 8.8.8.8
create new source map entry for 192.168.1.3
using IPv4 DNS server 8.8.8.8 on INTERNET
[DNS] 2024/02/06 11:18:08,670 [info] :
DNS Rx (INTERNET): Src-IP 8.8.8.8, RtgTag 0
Transaction ID: 0x1234
Flags: 0x8100 (Standard query response, No error)
Queries
www.google.de: type A, class IN
Answers records
www.google.de: type A, class IN, ttl 1 minute, 40 seconds, addr 142.250.184.195
forward to host 192.168.1.3
Code: Alles auswählen
> show filter
Filter 00000001 from Rule ALLOW-GOOGLE:
Protocol: 0
Src: 0.0.0.0/0 0-0
Dst: GOOGLE 0-0
142.250.184.195
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
Backslash