Firewall und DNS
Moderator: Lancom-Systems Moderatoren
Firewall und DNS
Ich habe in der Firewall eine deny all Strategie.
Um DNS für alle Rechner zu ermöglichen ist für alle Stationen im lokalen Netz der Port 53 freigeschaltet. (Wie in den Lancom Scripts angegeben).
Nun habe ich immer wieder abgelehnte Verbindungen auf den Port 53 zum einen von Rechnern, die über den VPN Client ins lokale Netz kommen und von der Firewall selbst. z.B. folgende Einträge für die Firewall (192.168.22.2) selbst.
Zeitpunkt Quelle Ziel Protokoll Quell-Port Ziel-Port FW Regel Limit
05/12/2014 11:10:38 192.168.22.2 192.268.22.2 17(UDP) 53962 53 DENY-ALL Sofort Paket zurückgewiesen
05/12/2014 11:10:11 192.168.22.2 192.268.22.2 17(UDP) 62996 53 DENY-ALL Sofort Paket zurückgewiesen
Gehört die Firewall selbst nicht zum lokalen Netz?
Es ist ein 1781EF+ mit aktueller Firmware
Danke für HIlfe
otellodb
Um DNS für alle Rechner zu ermöglichen ist für alle Stationen im lokalen Netz der Port 53 freigeschaltet. (Wie in den Lancom Scripts angegeben).
Nun habe ich immer wieder abgelehnte Verbindungen auf den Port 53 zum einen von Rechnern, die über den VPN Client ins lokale Netz kommen und von der Firewall selbst. z.B. folgende Einträge für die Firewall (192.168.22.2) selbst.
Zeitpunkt Quelle Ziel Protokoll Quell-Port Ziel-Port FW Regel Limit
05/12/2014 11:10:38 192.168.22.2 192.268.22.2 17(UDP) 53962 53 DENY-ALL Sofort Paket zurückgewiesen
05/12/2014 11:10:11 192.168.22.2 192.268.22.2 17(UDP) 62996 53 DENY-ALL Sofort Paket zurückgewiesen
Gehört die Firewall selbst nicht zum lokalen Netz?
Es ist ein 1781EF+ mit aktueller Firmware
Danke für HIlfe
otellodb
Re: Firewall und DNS
Hallo otellodb,
das gleiche Phänomen sehe ich bei mir auch (1781EW mit 8.84). Leider habe ich bislang noch keine Lösung gefunden…
Wäre für erhellende Hinweise sehr dankbar!
Viele Grüße,
Peter
das gleiche Phänomen sehe ich bei mir auch (1781EW mit 8.84). Leider habe ich bislang noch keine Lösung gefunden…
Wäre für erhellende Hinweise sehr dankbar!
Viele Grüße,
Peter
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Firewall und DNS
Hallo,
man sieht es genauer, wenn man einen Blick über WEBconfig in LCOS-Menübaum -> Status -> IP-Router -> Filter-Liste wirft. Dort sieht man für jede Firewall Regel, welche IP-Adresse/Bereich für die Objekte angenommen wird.
vg Bernie
man sieht es genauer, wenn man einen Blick über WEBconfig in LCOS-Menübaum -> Status -> IP-Router -> Filter-Liste wirft. Dort sieht man für jede Firewall Regel, welche IP-Adresse/Bereich für die Objekte angenommen wird.
vg Bernie
Man lernt nie aus.
Re: Firewall und DNS
Update:
Mit der Deny-All-Konfiguration nach der Lancom Knowledgebase ging alles einwandfrei, inklusive Site-to-Site-VPN. Probleme gab es bei uns erst, wenn sich ein Client per VPN eingewählt hat.
Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös. Nur bin ich mir nicht sicher, ob das nicht irgendwelche "Nebenwirkungen" hat…
Es könnte vielleicht aber auch einfach sein, dass da im LCOS etwas klemmt...
Peter
Mit der Deny-All-Konfiguration nach der Lancom Knowledgebase ging alles einwandfrei, inklusive Site-to-Site-VPN. Probleme gab es bei uns erst, wenn sich ein Client per VPN eingewählt hat.
Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös. Nur bin ich mir nicht sicher, ob das nicht irgendwelche "Nebenwirkungen" hat…
Es könnte vielleicht aber auch einfach sein, dass da im LCOS etwas klemmt...
Peter
Re: Firewall und DNS
Hi kelm,
Statt global alles zuzulassen, was sich adreßmässig in deinem Intranet befindet, könntest du auch wieder auf "Localnet" umschalten und zuätzlich ein Objekt für den Client erstellen, daß du dann zusätzlich zu "Localnet" in die Regel aufnimmst.
Gruß
Backslash
das ist nicht mysteriös, sondern genau das, was du konfiguriert hast. "Localnet" bezeichnet explizit die *lokalen* Netze - inclusive der LAN-Interfaces! D.h. selbst, wenn du den VPN-Client per Proxy-ARP IP-mäßig dein Intrane hievst, wird er über eine Regel mit "Localnet" abgelehnt, kommt er doch aus dem WAN und deshalb von "Localnet" *nicht* erfaßt wird. Erstellst du allerdings ein Objekt, daß rein adreßbasiert arbeitet, dann klappt es auch - wie du schon bemerkt hast...Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös
Statt global alles zuzulassen, was sich adreßmässig in deinem Intranet befindet, könntest du auch wieder auf "Localnet" umschalten und zuätzlich ein Objekt für den Client erstellen, daß du dann zusätzlich zu "Localnet" in die Regel aufnimmst.
Gruß
Backslash
Re: Firewall und DNS
Danke für die Info.
Das hatte ich mir so ungefähr schon gedacht.
Warum muss ich das aber nur bei DNS machen??
Für andere Protokolle http brauche ich das nicht.
Oder verstehe ich da etwas falsch.
Das hatte ich mir so ungefähr schon gedacht.
Warum muss ich das aber nur bei DNS machen??
Für andere Protokolle http brauche ich das nicht.
Oder verstehe ich da etwas falsch.
Re: Firewall und DNS
@backslash,
allerbesten Dank für die super Erklärung. Ich hatte "localnet" und "Intranet-IP" als gleichwertig verstanden. Werde die Regel nun entsprechend Deinen Angaben umbauen…
@otellodb, könnte es sein, dass das Verhalten für alle Protokolle an sich schon gleich ist, die Sache aber beim DNS auffällt, weil der als erstes angesprochen wird (d.h. als Basis für alle "höheren" Dienste)?
Peter
allerbesten Dank für die super Erklärung. Ich hatte "localnet" und "Intranet-IP" als gleichwertig verstanden. Werde die Regel nun entsprechend Deinen Angaben umbauen…
@otellodb, könnte es sein, dass das Verhalten für alle Protokolle an sich schon gleich ist, die Sache aber beim DNS auffällt, weil der als erstes angesprochen wird (d.h. als Basis für alle "höheren" Dienste)?
Peter
Re: Firewall und DNS
Nein.
Denn da ich nun den DNS angepasst habe müsste das Problem ja bei den anderen Protokollen smtp, pop3, http auftreten.
Tut es aber nicht.
Denn da ich nun den DNS angepasst habe müsste das Problem ja bei den anderen Protokollen smtp, pop3, http auftreten.
Tut es aber nicht.
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Firewall und DNS
Nein, dort sollte in der Regel das Problem nicht auftreten, denn:Denn da ich nun den DNS angepasst habe müsste das Problem ja bei den anderen Protokollen smtp, pop3, http auftreten.
Weder als Quelle noch als Ziel wird der Lancom Router bei diesen Protokollen angesprochen, als lokaler DNS hingegen schon.
vg Bernie
Man lernt nie aus.
Re: Firewall und DNS
Wenn ich doch aber den Router über seine IP aufrufe, um per http oder https auf ihn zuzugreifen (webinterface) wird er doch angesprochen. Auch das geht ohne die http Regel extra anzupassen.
Dort ist dann doch das gleiche Vorgehen wie bei der DNS Anfrage, oder nicht?
Danke für deine Hilfe. Ich will das eigentlich schon verstehen, um die Sicherheit gewährleisten zu können.
FEHLER selbst gefunden:
Habe eine allow VPN Routing Regel in der Firewall, die alles was über VPN kommt auf beliebige Stationen zulässt.
Warum die aber das DNS nicht zugelassen hat, verstehe ich nicht.
FG
otellodb
Dort ist dann doch das gleiche Vorgehen wie bei der DNS Anfrage, oder nicht?
Danke für deine Hilfe. Ich will das eigentlich schon verstehen, um die Sicherheit gewährleisten zu können.
FEHLER selbst gefunden:
Habe eine allow VPN Routing Regel in der Firewall, die alles was über VPN kommt auf beliebige Stationen zulässt.
Warum die aber das DNS nicht zugelassen hat, verstehe ich nicht.
FG
otellodb
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Firewall und DNS
Hallo,
Seite 426 im Referenz Manual klärt auf: http://www.lancom-systems.de/download/d ... 882-DE.pdf
Seite 426 im Referenz Manual klärt auf: http://www.lancom-systems.de/download/d ... 882-DE.pdf
vg BernieDie Kommunikation z. B. zwischen LAN und WLAN untereinander wird
normalerweise nicht über den Router abgewickelt, sofern die LAN-Bridge den direkten Austausch erlaubt. Hier wirken
also auch nicht die Regeln der Firewall. Gleiches gilt für die so genannten “internen Dienste” des LANCOM wie Telnet,
TFTP, SNMP und den Webserver für die Konfiguration über WEBconfig. Die Datenpakete dieser Dienste laufen nicht über
den Router und werden daher auch nicht durch die Firewall beeinflusst.
Man lernt nie aus.
Re: Firewall und DNS
Hi,
der Punkt ist, daß die IPv4-Firewall nur Forwarding-Filter hat und somit nicht reagiert, wenn das LANCOM direkt angesprochen wird (mit Ausnahme der IDS/DOS-Protection).
DNS stellt da eine Besonderheit dar, da das LANCOM hier als Forwarder arbeitet und somit aus dem ursprünglichen Inbound- ein Forwarding-Fall wird. Daher gibt es in der Firewall eine Sonderbehandlung für *weitergeleitete* DNS-Anfragen (Anfragen, die das LANCOM direkt beantwortet, werden nicht von der Firewall bearbeitet)...
Die IPv6-Firewall hingegen hat explizite Inbound-Filter, um derartige Krücken von vorneherein zu vermeiden...
Gruß
Backslash
der Punkt ist, daß die IPv4-Firewall nur Forwarding-Filter hat und somit nicht reagiert, wenn das LANCOM direkt angesprochen wird (mit Ausnahme der IDS/DOS-Protection).
DNS stellt da eine Besonderheit dar, da das LANCOM hier als Forwarder arbeitet und somit aus dem ursprünglichen Inbound- ein Forwarding-Fall wird. Daher gibt es in der Firewall eine Sonderbehandlung für *weitergeleitete* DNS-Anfragen (Anfragen, die das LANCOM direkt beantwortet, werden nicht von der Firewall bearbeitet)...
Die IPv6-Firewall hingegen hat explizite Inbound-Filter, um derartige Krücken von vorneherein zu vermeiden...
Gruß
Backslash
-
- Beiträge: 9
- Registriert: 07 Jun 2020, 17:43
Re: Firewall und DNS
Hallo, das habe ich jetzt auch mal probiert, weil mir auch aufgefallen ist, dass die Firewall die Router IP zur Router IP Port 53 blockt.kelm hat geschrieben: ↑14 Mai 2014, 20:41 ...
Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös. Nur bin ich mir nicht sicher, ob das nicht irgendwelche "Nebenwirkungen" hat…
...
Nur macht jetzt mein Lancom Router in kurzen Abständen (ein paar Minuten) immer einen Reboot
Wie kommt das eigentlich, dass der Router sich selbst eine Anfrage stellt?
Gibt es eine elegantere Lösung? Ich müsste dann ja die externe IP der VPN Klienten kennen. Bei einer Außenstelle mit dyndns geht das, aber nicht bei z.B. einem Smartphone (welches jedoch einwandfrei verbindet).
Viele Grüße, Frank