Firewall und DNS

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Firewall und DNS

Beitrag von otellodb »

Ich habe in der Firewall eine deny all Strategie.
Um DNS für alle Rechner zu ermöglichen ist für alle Stationen im lokalen Netz der Port 53 freigeschaltet. (Wie in den Lancom Scripts angegeben).
Nun habe ich immer wieder abgelehnte Verbindungen auf den Port 53 zum einen von Rechnern, die über den VPN Client ins lokale Netz kommen und von der Firewall selbst. z.B. folgende Einträge für die Firewall (192.168.22.2) selbst.

Zeitpunkt Quelle Ziel Protokoll Quell-Port Ziel-Port FW Regel Limit
05/12/2014 11:10:38 192.168.22.2 192.268.22.2 17(UDP) 53962 53 DENY-ALL Sofort Paket zurückgewiesen
05/12/2014 11:10:11 192.168.22.2 192.268.22.2 17(UDP) 62996 53 DENY-ALL Sofort Paket zurückgewiesen

Gehört die Firewall selbst nicht zum lokalen Netz?

Es ist ein 1781EF+ mit aktueller Firmware

Danke für HIlfe

otellodb
kelm
Beiträge: 59
Registriert: 10 Jan 2009, 23:41

Re: Firewall und DNS

Beitrag von kelm »

Hallo otellodb,

das gleiche Phänomen sehe ich bei mir auch (1781EW mit 8.84). Leider habe ich bislang noch keine Lösung gefunden…

Wäre für erhellende Hinweise sehr dankbar!

Viele Grüße,

Peter
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Firewall und DNS

Beitrag von Bernie137 »

Hallo,

man sieht es genauer, wenn man einen Blick über WEBconfig in LCOS-Menübaum -> Status -> IP-Router -> Filter-Liste wirft. Dort sieht man für jede Firewall Regel, welche IP-Adresse/Bereich für die Objekte angenommen wird.

vg Bernie
Man lernt nie aus.
kelm
Beiträge: 59
Registriert: 10 Jan 2009, 23:41

Re: Firewall und DNS

Beitrag von kelm »

Update:

Mit der Deny-All-Konfiguration nach der Lancom Knowledgebase ging alles einwandfrei, inklusive Site-to-Site-VPN. Probleme gab es bei uns erst, wenn sich ein Client per VPN eingewählt hat.

Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös. Nur bin ich mir nicht sicher, ob das nicht irgendwelche "Nebenwirkungen" hat…

Es könnte vielleicht aber auch einfach sein, dass da im LCOS etwas klemmt...

Peter
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall und DNS

Beitrag von backslash »

Hi kelm,
Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös
das ist nicht mysteriös, sondern genau das, was du konfiguriert hast. "Localnet" bezeichnet explizit die *lokalen* Netze - inclusive der LAN-Interfaces! D.h. selbst, wenn du den VPN-Client per Proxy-ARP IP-mäßig dein Intrane hievst, wird er über eine Regel mit "Localnet" abgelehnt, kommt er doch aus dem WAN und deshalb von "Localnet" *nicht* erfaßt wird. Erstellst du allerdings ein Objekt, daß rein adreßbasiert arbeitet, dann klappt es auch - wie du schon bemerkt hast...

Statt global alles zuzulassen, was sich adreßmässig in deinem Intranet befindet, könntest du auch wieder auf "Localnet" umschalten und zuätzlich ein Objekt für den Client erstellen, daß du dann zusätzlich zu "Localnet" in die Regel aufnimmst.

Gruß
Backslash
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: Firewall und DNS

Beitrag von otellodb »

Danke für die Info.
Das hatte ich mir so ungefähr schon gedacht.
Warum muss ich das aber nur bei DNS machen??
Für andere Protokolle http brauche ich das nicht.

Oder verstehe ich da etwas falsch.
kelm
Beiträge: 59
Registriert: 10 Jan 2009, 23:41

Re: Firewall und DNS

Beitrag von kelm »

@backslash,

allerbesten Dank für die super Erklärung. Ich hatte "localnet" und "Intranet-IP" als gleichwertig verstanden. Werde die Regel nun entsprechend Deinen Angaben umbauen…

@otellodb, könnte es sein, dass das Verhalten für alle Protokolle an sich schon gleich ist, die Sache aber beim DNS auffällt, weil der als erstes angesprochen wird (d.h. als Basis für alle "höheren" Dienste)?

Peter
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: Firewall und DNS

Beitrag von otellodb »

Nein.
Denn da ich nun den DNS angepasst habe müsste das Problem ja bei den anderen Protokollen smtp, pop3, http auftreten.

Tut es aber nicht.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Firewall und DNS

Beitrag von Bernie137 »

Denn da ich nun den DNS angepasst habe müsste das Problem ja bei den anderen Protokollen smtp, pop3, http auftreten.
Nein, dort sollte in der Regel das Problem nicht auftreten, denn:
Weder als Quelle noch als Ziel wird der Lancom Router bei diesen Protokollen angesprochen, als lokaler DNS hingegen schon.

vg Bernie
Man lernt nie aus.
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: Firewall und DNS

Beitrag von otellodb »

Wenn ich doch aber den Router über seine IP aufrufe, um per http oder https auf ihn zuzugreifen (webinterface) wird er doch angesprochen. Auch das geht ohne die http Regel extra anzupassen.
Dort ist dann doch das gleiche Vorgehen wie bei der DNS Anfrage, oder nicht?

Danke für deine Hilfe. Ich will das eigentlich schon verstehen, um die Sicherheit gewährleisten zu können.

FEHLER selbst gefunden:

Habe eine allow VPN Routing Regel in der Firewall, die alles was über VPN kommt auf beliebige Stationen zulässt.
Warum die aber das DNS nicht zugelassen hat, verstehe ich nicht.

FG

otellodb
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Firewall und DNS

Beitrag von Bernie137 »

Hallo,

Seite 426 im Referenz Manual klärt auf: http://www.lancom-systems.de/download/d ... 882-DE.pdf
Die Kommunikation z. B. zwischen LAN und WLAN untereinander wird
normalerweise nicht über den Router abgewickelt, sofern die LAN-Bridge den direkten Austausch erlaubt. Hier wirken
also auch nicht die Regeln der Firewall. Gleiches gilt für die so genannten “internen Dienste” des LANCOM wie Telnet,
TFTP, SNMP und den Webserver für die Konfiguration über WEBconfig. Die Datenpakete dieser Dienste laufen nicht über
den Router und werden daher auch nicht durch die Firewall beeinflusst.
vg Bernie
Man lernt nie aus.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall und DNS

Beitrag von backslash »

Hi,

der Punkt ist, daß die IPv4-Firewall nur Forwarding-Filter hat und somit nicht reagiert, wenn das LANCOM direkt angesprochen wird (mit Ausnahme der IDS/DOS-Protection).
DNS stellt da eine Besonderheit dar, da das LANCOM hier als Forwarder arbeitet und somit aus dem ursprünglichen Inbound- ein Forwarding-Fall wird. Daher gibt es in der Firewall eine Sonderbehandlung für *weitergeleitete* DNS-Anfragen (Anfragen, die das LANCOM direkt beantwortet, werden nicht von der Firewall bearbeitet)...

Die IPv6-Firewall hingegen hat explizite Inbound-Filter, um derartige Krücken von vorneherein zu vermeiden...

Gruß
Backslash
Frank Siedler
Beiträge: 9
Registriert: 07 Jun 2020, 17:43

Re: Firewall und DNS

Beitrag von Frank Siedler »

kelm hat geschrieben: 14 Mai 2014, 20:41 ...
Vorhin habe ich testweise dem "Localnet"-Objekt in den Firewallregeln (IPv4) explizit die lokalen Netze (192.168.x.0, Netzmaske 255.255.255.0) hinzugefügt. Nun geht auch per VPN alles so wie es sein soll - sehr mysteriös. Nur bin ich mir nicht sicher, ob das nicht irgendwelche "Nebenwirkungen" hat…
...
Hallo, das habe ich jetzt auch mal probiert, weil mir auch aufgefallen ist, dass die Firewall die Router IP zur Router IP Port 53 blockt.
Nur macht jetzt mein Lancom Router in kurzen Abständen (ein paar Minuten) immer einen Reboot :(

Wie kommt das eigentlich, dass der Router sich selbst eine Anfrage stellt?

Gibt es eine elegantere Lösung? Ich müsste dann ja die externe IP der VPN Klienten kennen. Bei einer Außenstelle mit dyndns geht das, aber nicht bei z.B. einem Smartphone (welches jedoch einwandfrei verbindet).

Viele Grüße, Frank
Antworten