Policy based Routing - eingehend/ausgehend?

[filou]

Moin, moin,

Ein kleines Verständnisproblem... bzw. Bitte um erschöpfende Erklärung!...

Deny-All-Strategie:

- Ich habe 2 Routen ...einmal mit Routing-Tag 0 und einmal Routing-Tag 1
- Eine Regel für SMTP (Port 25) ausgehend /Tag 1
- Eine Regel für SMTP eingehend /Tag 1
- Forwarding Port 25 auf Mail-Server

Ausgehend zieht die Route über Tag 1 ...das funktioniert.
Eingehend kommen die Pakete aber nachwievor über Route 0, obwohl die Firewall-Regel auf Tag 1 steht.

Das dürfte doch garnicht sein, oder wird das Tag nur für ausgehende Paket angehängt!?

Nun möchte ich aber, dass über diese Route (dyn. IP) der Port 25 garnicht offen ist.

Wie kann ich regeln, dass SMTP auch eingehend über Route 1 laufen?

Vielen Dank schonmal vorab!

[ittk]

nochmal zusammengefasst:

also dein forwarding eintrag zeit auf die interne ip des smtp servers.
du hast den port auch in der firewall freigegeben

von quelle alle an ip-addresse des smtp-servers und basierend auf deiner flussrichtung lässt du die pakete mit einem tag 1 markieren. hast du den FIREWALL TRACE mal dahingehend angesehen?

wie wäre es mit der idee eine hostroute für deinen smtp-server in die routing-tabelle des lancom einzupflegen, die dann als tag das 1 benutzt.

funktioniert es dann?

[filou]

nochmal zusammengefasst:

also dein forwarding eintrag zeit auf die interne ip des smtp servers.
du hast den port auch in der firewall freigegeben

von quelle alle an ip-addresse des smtp-servers und basierend auf deiner flussrichtung lässt du die pakete mit einem tag 1 markieren.

Ja, so stehts momentan.

Mich würde nur mal interessieren, ob die Policy so auch ziehen sollte, wenn auf Port 25 Pakete eingehend kommen, oder nur greift für ausgehende Pakete?

[ittk]

ich meine, dass die "policies" mit deren tag nur bei vorhandenem routing-eintrag funktionionieren. die scheinen ja UND-verknüpft zu sein.

den die auswahl der wegesteuerung (route) wird ja schließlich durch das gesetzte tag ermöglicht.

[tunichtgut]

Mich würde nur mal interessieren, ob die Policy so auch ziehen sollte, wenn auf Port 25 Pakete eingehend kommen, oder nur greift für ausgehende Pakete?

Überleg doch selbst mal, wie soll der Router denn Einfluss darauf nehmen auf welcher WAN Verbindung ein Packet reinkommt ? Der Router kann nur ausgehende Packete taggen und über die entsprechend getaggte Route rauschicken.

[filou]

Gedacht hatte ich mir das, nach dem Ergebnis...
Aber andererseits wieder angenommen, dass Pakete durch die Firewall geblockt werden, wenn eine Deny_all besteht und die Regel, die diesen Port öffnet und auf Tag 1 ist, auch nur Pakete über disen WAN-Port einlässt.

Somit kann ich mir das Setzen des Routing-Tags für Regeln die Ports ins Intranet öffnen sparen ...Der Port ist an IP 1 und IP 2 gleichermaßen auf...

Welche Möglichkeiten habe ich, den eingehenden Traffic portbasierend, sonst zusteuern ...d.h. z.B. an WAN-IP 1 blocken, an WAN-IP 2 durchlassen

[ittk]

hallo,

ich habe das gewünschte verhalten mal in bezug auf qos angesprochen:

http://www.lancom-forum.de/topic,103,15 ... egeln.html

Ein eingehendes Policy-Based-Routing kann nur funktionieren, wenn wirklich einzelne Interfaces zum Tagging bereigestellt werden. Momentan hast du ja keine Möglichkeit zu sagen, dass die Regel nur für die WAN-Interfaces DSL-1 oder DSL-2 gelten soll. Dies hätte dann auch den Vorteil den Port nur für eine bestimmte WAN-verbindung zu kontrollieren.

(Da sind wir schon wieder bei dem Punkt angelangt).

Ansonsten kannst du nur dem Empfang der Pakete zu einer gewissen Leitung fest zuordnen. Aber dann müssen sämtliche Pakete an genau diese eine IP-Adresse geschickt werden. Reagieren n-IP-Adressen auf den Port wirst du nie eine saubere Trennung erzielen können.

[filou]

Ansonsten kannst du nur dem Empfang der Pakete zu einer gewissen Leitung fest zuordnen. Aber dann müssen sämtliche Pakete an genau diese eine IP-Adresse geschickt werden. Reagieren n-IP-Adressen auf den Port wirst du nie eine saubere Trennung erzielen können.

Noch zur Erklärung von mir:
Momentan bestehen einige email-Weiterleitungen an die "name.dyndns.org" welche mit WAN-IP 1 verknüpft ist.
Deshalb kommen die Mails auch über diesen Port rein.
Nachdem ich die Mailweiterleitungen auf die feste IP (WAN-IP 2) umgestellt habe, dann kommen die auch dort an.

Nur hoffte ich den Port 25 an der 1.(dyn.) IP zuschließen und das mit dem Routing-Tag zu erreichen....
Da es eine dyn. IP ist, kann ich keine Regel entwerfen, die von mir aus sagt...
Schließe Port 25 von Station WAN-1.
Es läuft eben momentan alls nur über das interne Modem.

[backslash]

Hi filou,

wie bereits von tunichtgut gesagt, funktioniert das Tagging nur für abgehende Pakete.

Wenn du die einkommenden Pakete nur auf einer bestimmten Internetverbindung zulassen willst, dann muß du diese Verbindung als Quelle angeben.

Wenn du also die Verbindungen INET-1 und INET-2 hastund du Mails nur von INET-1 empfangen willst, dann brauchst du folgenden Filter:

Code: Alles auswählen

Aktion:    Übertragen
Quelle:    Gegenstelle INET-1
Ziel:      IP des Mail-Servers
Dienst:    Zielport 25

Dadurch matcht der Filter nur auf Pakete, die einerseits aus dem über den Routing-Eintrag für INET-1 definierten Netz (0.0.0.0/0.0.0.0) kommen *UND* andererseits auch über genau diese Verbindung empfangen wurden - d.h. SMTP-Pakete, die auf INET-2 empfangen werden, laufen in die DENY-ALL Regel.


Gruß
Backslash

[filou]

Moin Backslash,

Quelle: Gegenstelle INET-1

Der Gegenstelle vom Provider?

Ich habe solche Regel, aber als Quelle habe ich die IP´s der weiterleitenden Mail-Server vom Webhoster eingetragen. Das funktioniert. Also es werden auch nur Verbindungen von diesen IP´s angenommen.
Aber eben gerade auf der WAN-IP, auf die ich die Umleitung eingerichtet habe

Soll ich eine zweite Regel mit Gegenstelle vom Provider erstellen?
Ist die immer gleich?

Manchmal steht sie im Lanmonitor, meistens aber nicht!
Wieso eigentlich?

Was, wenn sich die IP ändert?

[ittk]

Wenn du die Gegenstelle (die konfigurierte Internetverbindung zu deinem Provider) einträgst, dann als Verbindungsquelle immer die aktuell zugewiesene IP deines ISP ergeben. Alles was von diesem Provider empfagen wird durch diese Regel explizit erlaubt. Die andere Internetverbindung ist durch die Deny-ALL-Regel weiterhin blockiert.

[filou]

Moin ittk,

Also du denkst, dass backslash die WAN-IP, die mir zugewiesen ist, meint?
Na bei der festen IP, wie an WAN2, wäre das kein Problem.
Dort solls ja auch sein.

...und bei einer dyn. IP...?

[LoUiS]

Hallo Jens,

...und bei einer dyn. IP...?

deswegen schrieb backslash ja auch Du sollst den _Gegenstellen_ Namen im Filter benutzen.


Ciao
LoUiS

[filou]

Moin LoUiS,

Aah, jetzt ist der Groschen gefallen... danke Euch!

Das probiere ich

[filou]

Hi,

Es funktioniert.
Ich musste es nur nach meinen Bedürfnissen anpassen:

Code: Alles auswählen

Aktion:    Zurückweisen
Quelle:    Gegenstelle INET-1
Ziel:      IP des Mail-Servers
Dienst:    Zielport 25

Zurückweisen, da ich ja schon die Weiterleitungsregel (Quelle: IP´s der weiterleitenden Server) und das ganze ja über INET-2 laufen soll.
Deshalb INET-1 zurückweisen.
Da sich diese Deny-Regel nach der "Erlaube Weiterleitung" in der Firewall einordnet, musste ich sie mit einer höheren Priorität einordnen, dass sie vorher abgearbeitet wird.