Firewall-Regel mit Aktion nur für Default-Route (z.B. I-net)

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5296
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:
Kontaktdaten von Jirka

Firewall-Regel mit Aktion nur für Default-Route (z.B. I-net)

Beitrag von Jirka »

Hallo zusammen,
hallo Backslash,

Name der Regel: SIP-SERVER_UEBER_T-DSLBIZ
x Diese Regel ist für die Firewall aktiv.
x Diese Regel hält die Verbindungszustände nach.
Routing-Tag: 11
Kommentar: mit Routing-Tag 11 ueber T-DSLBIZ (SIP u. RTP ueber eine WAN-IP)

Aktion: Übertragen, Aktion nur für Default-Route (z. B. Internet)
(Anzeige in der Übersichtstabelle: Bedingt markieren)

Quelle: SIP-Server
Ziel: alle

Problem: Die Firewall-Regel greift eben nicht nur für die Default-Route, sondern auch bei Routen, die zu VPNs führen.
Im Trace schön zu erkennen am gesetzten Routing-Tag 11.
(Ist eine Route eigentlich nur dann eine Default-Route, wenn sie als Routing-Tag 0 hat? Denn diese Default-Route zu T-DSLBIZ hat hier natürlich das Rtg.-Tag 11.)
Die VPN-Routen sind alle über Routing-Tag 1 zu erreichen, das ist auch das Tag, was das Intranet hat (wo auch der SIP-Server steht). SIP-ALG ist aus. QoS-Regeln für RTP kommen vor dieser Firewall-Regel.

Trace (auf nur ein Beispiel-Paket gekürzt):

[Firewall] 2016/04/29 02:21:50,426
Packet matched rule SIP-SERVER_UEBER_T-DSLBIZ
DstIP: 10.0.20.109, SrcIP: 10.0.10.200, Len: 585, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 1025, SrcPort: 5060

test next filter (no matching route)

[Firewall] 2016/04/29 02:21:50,427
Packet matched rule DEFAULT (ACCEPT-ALL)
DstIP: 10.0.20.109, SrcIP: 10.0.10.200, Len: 585, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 1025, SrcPort: 5060


[IP-Router] 2016/04/29 02:21:50,426
IP-Router Rx (LAN-1, INTRANET, RtgTag: 11):
DstIP: 10.0.20.109, SrcIP: 10.0.10.200, Len: 585, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 1025, SrcPort: 5060
Network unreachable (no route) => Discard

Ist das Verhalten so richtig? Wann ja, warum? Oder ist das ein Bug?
Der Haken bei 'Aktion nur für Default-Route (z. B. Internet)' hat doch Auswirkungen auf das Matchen der gesamten Regel oder nur auf die Sachen, die unter Aktion durchgeführt werden?!

Vielen Dank und viele Grüße,
Jirka
Nach oben
backslash
Moderator
Moderator
Beiträge: 7147
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel mit Aktion nur für Default-Route (z.B. I-

Beitrag von backslash »

Hi Jirka,

der ist bereits anderweitig eingetragen worden und auch schon gefixt - ob der Fix aber noch in die Release kommt, kann ich dir nicht sagen...

Gruß
Backslash
Nach oben
Antworten

Zurück zu „Fragen zum Thema Firewall“