ISA 2004 + LANCOM 821 + Diablo battle.net = Firewall Konfig?

[ZEUS]

Hallo LANCOM Gemeinde,

folgendes Szenario:
ISA 2004 SP1 regelt den Internetverkehr für das interene 100er Netz.
LANCOM 821+ dient als Access Router an der zweiten Netzwerkkarte (200er Netz).

Wenn die Firewall vom LANCOM nicht aktiviert ist läuft Diablo im battle.net (ISA ist dementsprechend konfiguriert).
Beim LANCOM bekomm ich es nicht gebacken. Die Firewall ist mit einer deny_all regel aufgebaut.

Folgende Protokolle/Ports sind nötig:
TCP 4000 OUT (beim ISA kann ich die sekundären Verbindungen TCP + UDP je 6112 bis 6119 angeben)
TCP 4000 IN
UDP 4000 BEIDSEITIG

Hat da jemand nen Tipp?
Ich bin wahrlich kein Zocker, aber mein gutes altes Diablo II LoD sollte wenigstens laufen.

Grüsse und einen guten Rutsch.
Patrick

[tunichtgut]

Hallo LANCOM Gemeinde,

Folgende Protokolle/Ports sind nötig:
TCP 4000 OUT (beim ISA kann ich die sekundären Verbindungen TCP + UDP je 6112 bis 6119 angeben)
TCP 4000 IN
UDP 4000 BEIDSEITIG

Hat da jemand nen Tipp?
Ich bin wahrlich kein Zocker, aber mein gutes altes Diablo II LoD sollte wenigstens laufen.

Grüsse und einen guten Rutsch.
Patrick

Hi,

mach unter Telnet einen Firewall Trace (trace + firewall) damit du siehst welche Packete in die DENY_ALL Regel laufen und überprüf deine Allow regeln.

Der meistgemachte Fehler ist den gleichen Port (z.B. UDP 4000) gleichzeitig als Quell und Zielport in eine Regel einzutragen. D.h. eine solche Allow Regel würde nur dann greifen wenn ein Packet mit Quell- und Zielport 4000 auftaucht, was nie passieren wird ...

Es reicht also eine Regel TCP,UDP Zielport 4000, wenn Diabolo sonst noch was braucht siehst du das im Firewall Trace.

[ZEUS]

Hi tunichtgut,

vielen lieben Dank. In der Tat habe ich die Ports bei Quelle UND Ziel eingetragen.

Jetzt steht eine einzige ALLOW Regel mit TCP+UDP mit Zielport 4000 drin und es läuft (ISA lässt nach aussen alles durch).

Jetzt hängts noch am ISA 2004 SP1. Den hab ich jetzt mal dicht(er) gemacht. Wenn ich nach EXTERN jeden Datenverkehr zulasse, dann funktioniert es astrein. Irgendwo klemmts da noch.

EDIT: So jetzt läufts auch mitm ISA. Ports 4000 und 6112 jeweils als TCP+UDP und rein+raus.

Ach ja:
Was bedeut denn die Zahl mit PRIO(rität) bei den LANCOM Firewall-Regeln? Umso höher die Zahl umso weiter oben steht die Regel - und das bedeutet?

[tunichtgut]

Hi tunichtgut,

Ach ja:
Was bedeut denn die Zahl mit PRIO(rität) bei den LANCOM Firewall-Regeln? Umso höher die Zahl umso weiter oben steht die Regel - und das bedeutet?

Das LANCOM nimmt beim Aufbau der Filterliste aus den Firewall-Regeln eine automatische Sortierung der Einträge
vor. Dabei wird der “Detallierungsgrad” berücksichtigt: Zunächst werden alle speziellen Regeln beachtet, danach die
allgemeinen (z.B. Deny-All).
Wenn sich durch die automatische Sortierung nicht das gewünschte Verhalten der Firewall einstellt, kann die Priorität
von Hand verändert werden. Je höher die Priorität der Firewall-Regel, desto eher wird der zugehörige Filter in
der Filterliste platziert.

[ZEUS]

Hallo tunichgut,

vielen Dank für die Erklärung.
Ich hab mal eine kleine Einteilung vorgenommen (siehe Anhang).
Kann man das beurteilen ob das ok ist?

[tunichtgut]

Hallo tunichgut,

vielen Dank für die Erklärung.
Ich hab mal eine kleine Einteilung vorgenommen (siehe Anhang).
Kann man das beurteilen ob das ok ist?

Wier gesagt nimmt der Router selbst eine automatsiche Sortierung vor, es besteht kein Anlass davon Hand nochmal zu priorsieren, im Gegenteil es ist eher Fehlerträchtig, ich würde das komplett unterlassen.

[ZEUS]

alles klar.
werde das dann komplett rausnehmen.
danke dir und schönes wochenende.