Hallo Gemeinde,
ich habe immer wieder ein Problem, was ich nicht verstehe. Bei zB einem Lancom 1783VA gehe ich über eine Fritzbox ins Internet. Ich benutze diese Fritzbox als besseres Modem (Das Lancom ist Exposed Host und das Lancom könnte eigene Portfreigaben anfordern, hat ein eigenes Netz 192.168.6.x, ist selbst 192.168.6.1 und das Lnacom immer 192.168.6.2 - so ist die Fritzbox eingestellt). Der Port des Lancoms, wo die Fritzbox dran ist steht auf DSL-1, die DSL Gegenstelle geht mit IPOE (Ethernet / Transparent / Transparent / - / Ethernet ins Internet. Bei den Protokollen ist die Fritzbox als IP 192.168.6.2 mit Gateway und Nameserver per IP 192.168.6.1 eingetragen.
Es funktioniert auch alles, aber in unterschiedlichen Abständen steht die IP der Fritzbox in der Hostsperrliste des Routings vom Lancom drin
(/config/1/10/24/) wo ich sie wieder löschen muss, da sonst kein Internet. Wieso macht das Lancom das ? Die IP müsste doch wegen des Routings etc. als "Freund" angesehen werden, und nicht auf eine Sperrliste kommen. Ich behelfe miir momentan mit einem CRON Job, der alle 10 Minuten diese Adresse in der Sperrliste sucht und löscht. Der wahre Jakob ist das nicht. Was mache ich falsch ?
VG
Mcfly
Hostsperrliste
Moderator: Lancom-Systems Moderatoren
Re: Hostsperrliste
Hi mcfly71
Böse gesagt ist der Fehler am Ende überhaupt so eine Aktion zu konfigurieren...
Gruß
Backslash
Du hast eine Firewall-Regel, in der als Aktion "Absenderadresse sperren" angehakt ist. Und die Fritzbox scheint offenbar Pakete zu senden, die auf diese Regel matchen.Was mache ich falsch ?
Böse gesagt ist der Fehler am Ende überhaupt so eine Aktion zu konfigurieren...
Gruß
Backslash
Re: Hostsperrliste
Hallo Backslash.
Erstmal Danke für deine Antwort. Eine solche Firewall Regel habe ich nicht - oder bzw nur bedingt. Es sind in der Firewall immer die Port-Scan-Detections (IDS), die ich aber schon auf 500 gesetzt habe. Dort wird auch die Absenderadresse gesperrt. Aber das mit dem Absender sperren rausnehmen kann es doch auch nicht sein ?? oder ?. Ich habe sogar mit Firewall Regeln ein Accept geschaffen, der diese Adresse und alle Protokolle akzeptieren soll, aber das hilft nie etwas gegen das IDS.
Also deiner Meinung nach: Abesenderadresse sperren rausnehmen, nur noch verwerfen der Anfrage drinlassen ?
Der Eintrag sieht ungefähr so aus (port 53 DNS ist es wohl in diesem Falll)
Quelle Ziel Protokoll Quell-Port Ziel-Port Regel
192.168.6.1 192.168.6.2 17 (UDP) 53 (domain) 13444 Port-Scan-Detection
VG
Mcfly
Erstmal Danke für deine Antwort. Eine solche Firewall Regel habe ich nicht - oder bzw nur bedingt. Es sind in der Firewall immer die Port-Scan-Detections (IDS), die ich aber schon auf 500 gesetzt habe. Dort wird auch die Absenderadresse gesperrt. Aber das mit dem Absender sperren rausnehmen kann es doch auch nicht sein ?? oder ?. Ich habe sogar mit Firewall Regeln ein Accept geschaffen, der diese Adresse und alle Protokolle akzeptieren soll, aber das hilft nie etwas gegen das IDS.
Also deiner Meinung nach: Abesenderadresse sperren rausnehmen, nur noch verwerfen der Anfrage drinlassen ?
Der Eintrag sieht ungefähr so aus (port 53 DNS ist es wohl in diesem Falll)
Quelle Ziel Protokoll Quell-Port Ziel-Port Regel
192.168.6.1 192.168.6.2 17 (UDP) 53 (domain) 13444 Port-Scan-Detection
VG
Mcfly
Re: Hostsperrliste
Hi mcfly71
Die Adress- und Portsperren sind nur drin weil selbsternannte Experten diverser Homeuser-Computer-Zeitungen eine Firewall ohne diese unseligen "Features" abwerten. Die Nebenwirkung hast du selbst erlebt...
Durch sie kann ein DoS-Angriff erfolgreich werden: Als Beispiel: Ein Portscan mit geschickt gefälschter Absenderadresse, z.B. der des DNS-Servers deines Providers, und schon ist die Kommunikation unterbrochen...
Die LANCOM-Firewall schützt das Netz (nach Erkennen) solange ein Portscan läuft. Ein nachträgliches zusätzliches Sperren ist unnötig bzw. kontraproduktiv...
Abgesesehen davon ist aufgrund von NAT eh nur das LANCOM selbst von außen sichtbar und das bietet (im Default) kein Dienste auf der Internetverbindung an. Mit korrekten Firewallreglen (Deny-All plus dedizierte Allow-Regeln) ist der Schutz "perfekt" und nur über Portforwardings explizit von aussen erreichbar gemachten Server sind angreifbar. Auf diesen Servern sollte besonders auf "Härtung" geachtet werden. Eine Adress- oder Portsperre in einer vorgelagerten Firewall macht im schlimmsten Fall den Server unerreichbar (sprich: einen DoS-Angriff erfolgreich)
Gruß
Backslash
doch genau das...Aber das mit dem Absender sperren rausnehmen kann es doch auch nicht sein ?? oder ?.
Die Adress- und Portsperren sind nur drin weil selbsternannte Experten diverser Homeuser-Computer-Zeitungen eine Firewall ohne diese unseligen "Features" abwerten. Die Nebenwirkung hast du selbst erlebt...
Durch sie kann ein DoS-Angriff erfolgreich werden: Als Beispiel: Ein Portscan mit geschickt gefälschter Absenderadresse, z.B. der des DNS-Servers deines Providers, und schon ist die Kommunikation unterbrochen...
Die LANCOM-Firewall schützt das Netz (nach Erkennen) solange ein Portscan läuft. Ein nachträgliches zusätzliches Sperren ist unnötig bzw. kontraproduktiv...
Abgesesehen davon ist aufgrund von NAT eh nur das LANCOM selbst von außen sichtbar und das bietet (im Default) kein Dienste auf der Internetverbindung an. Mit korrekten Firewallreglen (Deny-All plus dedizierte Allow-Regeln) ist der Schutz "perfekt" und nur über Portforwardings explizit von aussen erreichbar gemachten Server sind angreifbar. Auf diesen Servern sollte besonders auf "Härtung" geachtet werden. Eine Adress- oder Portsperre in einer vorgelagerten Firewall macht im schlimmsten Fall den Server unerreichbar (sprich: einen DoS-Angriff erfolgreich)
korrektAlso deiner Meinung nach: Abesenderadresse sperren rausnehmen, nur noch verwerfen der Anfrage drinlassen ?
Und das ist genau der Fall mit gefälschter Absenderadresse- und Port...Der Eintrag sieht ungefähr so aus (port 53 DNS ist es wohl in diesem Falll)
Quelle Ziel Protokoll Quell-Port Ziel-Port Regel
192.168.6.1 192.168.6.2 17 (UDP) 53 (domain) 13444 Port-Scan-Detection
Gruß
Backslash
Re: Hostsperrliste
Dann einmal vielen Dank für deine Hilfe !!!! 