Firewall-Regel nur über VPN greift auch nicht über VPN

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Firewall-Regel nur über VPN greift auch nicht über VPN

Beitrag von Jirka »

Hallo Backslash,

ich habe hier einen 9100+ mit 10.12.0658 und folgender Firewall-Regel:
Name: ALLOW-VPN-ROUTING
aktiv: ja
Aktionen: ACCEPT-VPN (-> Aktion Übertragen; Nur wenn VPN-Route)
QoS: -
Quelle: alle
Ziel: alle
Dienste: alle

Der Regel folgen noch einige wenige andere und dann kommt eine DENY-ALL.

Problem: PCs kommen über diese Regel einfach ins Internet, obwohl sie gar nicht dürfen (bin ich jedenfalls der Meinung).
Das ist doch ein blöder Bug, oder habe ich die Firewall-Regel nicht korrekt gesetzt, für das, was hier passieren soll?
Sicherlich könnte man eine derartige Firewall-Regel auch anders definieren, z. B. indem die Ziele genauer spezifiziert werden. Aber ist das hier denn nun falsch?

Vielen Dank und viele Grüße,
Jirka
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall-Regel nur über VPN greift auch nicht über VPN

Beitrag von backslash »

Hi Jirka,

mit einer Regel, die Quelle, Ziel und Dienste "alles" hat, bekommst du ein Problem - spätestens wenn du zwei solcher Regeln mit gleicher Prio hast... Dann werden die Regeln zusammengefaßt und es entsteht ein einzelner Filter, der die zusammengefaßten Aktionen hat. Dieser Filter taucht dann unter dem Namen der ersten der Regeln auf, aus denen er entstanden ist...

Schau dir mal per "show filter" an, welche Filter aus deinen Regeln gebaut wurden und gehe diese Liste dann von oben nach unten bis zum ersten Match von Quelle, Ziel und Dienst durch. Die Aktionen, die an dem Eintrag stehen gelten dann für das Paket. Wenn da eine bedingte Aktion steht, dann wird die Bedingung ausgewertet und falls sie nicht matcht und es auch keine andere matchende Bedingung gibt, wird der nächste Filter gesuchrtm der auf Quelle, Ziel und Dienst matcht. Stehen dort bedingte und unbedingte Aktionen, so werden die unbedingten Aktionen ausgeführt, wenn die Bedingungen der bedingten Aktionen nicht matchen...

Letztendlich sind die Angaben zur deiner Firewallkonfiguration nicht ausreichend, um deine Frage beantworten zu können...

Gruß
Backslash
Antworten