Hallo,
ich bin neu hier im Forum und auch neu mit dem Umgang mit LANCOM-Geräten (in diesem Fall ein 1721),
deshalb hier mal eine Verständnisfrage zu den Regeln der Firewall.
Ich habe, so wie in der Anleitung der LANCOM-KB, eine Deny-All-Regel erzeugt und danach das Internet, Mails, FTP und DNS als einzelne ALLOW-Regeln hinzugefügt.
Jetzt habe ich mal testweise die ALLOW-INET Regel in der Firewall auf "aus" gesetzt und habe dabei gedacht,
dass hierdurch keine Möglichkeit besteht sich Seiten im Inet anzeigen zu lassen.
Genau so habe ich erwartet, dass die DENY-ALL-Regel greift wenn ich per SFTP also Port 22
auf ein Webhost-Server zugreifen will, dieser ist ja eigentlich nicht erlaubt.
Kann mir irgendjemand erklären, warum das so ist und wie ich Abhilfe schaffen könnte!?
Besten Dank im voraus!
Gruß,
M.S
Verständnisfrage DENY-ALL Regel
Moderator: Lancom-Systems Moderatoren
-
Mr.Scrooge
- Beiträge: 5
- Registriert: 27 Mär 2008, 18:37
Hmm, das mit der bestehenden Session ist mir denk ich klar.
Komischerweise lässt die FW die Daten durch auch wenn ich eine neue Session starte.
Nochmal zu meiner Konfiguration:
In meiner Regelliste steht außer des WINS Eintrags folgendes
ALLOW-INET - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-FTP - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-DNS - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-MAIL - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
DENY-ALL - Häkchen bei Aktion nur für Default-Route - Quelle: Von alle Stationen - Ziel: An alle Stationen
Wie gesagt, jetzt denke ich eigentlich, dass ich keine Verbindungen mehr über SFTP aufbauen könnte, geht aber trotzdem.
Genau so sollte ja auch die Inet-Verbindung nicht mehr laufen, wenn ich diese Erlaubnis auf "aus" stelle. (habe ich ja schon oben beschrieben)
Was könnte ich den Falsch gemacht haben?
Gruß,
M.S
Komischerweise lässt die FW die Daten durch auch wenn ich eine neue Session starte.
Nochmal zu meiner Konfiguration:
In meiner Regelliste steht außer des WINS Eintrags folgendes
ALLOW-INET - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-FTP - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-DNS - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
ALLOW-MAIL - ohne Häkchen in Bedingungen - Quelle: Alle Stationen in allen lokalen Netzwerken - Ziel: An alle Stationen
DENY-ALL - Häkchen bei Aktion nur für Default-Route - Quelle: Von alle Stationen - Ziel: An alle Stationen
Wie gesagt, jetzt denke ich eigentlich, dass ich keine Verbindungen mehr über SFTP aufbauen könnte, geht aber trotzdem.
Genau so sollte ja auch die Inet-Verbindung nicht mehr laufen, wenn ich diese Erlaubnis auf "aus" stelle. (habe ich ja schon oben beschrieben)
Was könnte ich den Falsch gemacht haben?
Gruß,
M.S
Zuletzt geändert von Mr.Scrooge am 04 Apr 2008, 14:36, insgesamt 1-mal geändert.
Hi Mr.Scrooge
du hast bei der DNY-ALL Regel das Häkchen bei "Aktion nur für Default-Route" gesetzt. Wird denn der Server, auf den du zugreifst, überhaupt über die Defaultroute erreicht - oder gibt es da eine andere Route?
Was passiert, wen du das Häkchen bei der Deny-Regel entfernst?
Wie sieht deine Routing-Tabelle aus?
Gruß
Backslash
du hast bei der DNY-ALL Regel das Häkchen bei "Aktion nur für Default-Route" gesetzt. Wird denn der Server, auf den du zugreifst, überhaupt über die Defaultroute erreicht - oder gibt es da eine andere Route?
Was passiert, wen du das Häkchen bei der Deny-Regel entfernst?
Wie sieht deine Routing-Tabelle aus?
Gruß
Backslash
-
Mr.Scrooge
- Beiträge: 5
- Registriert: 27 Mär 2008, 18:37
Derzeit so:
192.168.0.0 255.255.0.0 0 0.0.0.0 0 nein ja block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0.0.0.0 0 nein ja block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0.0.0.0 0 nein ja block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 0.0.0.0 0 nein ja block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 0 T-ONLINE 0 Ein ja
Meine Default-Route ist dementsprechend die T-Online Verbindung oder nicht!?
Diese Einstellung habe ich so aus der LC-KnowledgeBase übernommen.
Wenn ich das Häkchen entferne, stelle ich kein Unterschied fest.
Mir ist nur aufgefallen, das ich eine Eintrag in der Filter-Liste über das WebConfig habe, welche wie folgt lautet:
Idx. Prot. Quell-MAC Quell-Adresse Quell-Netz-Maske Q-Von Q-Bis Ziel-MAC Ziel-Adresse Ziel-Netz-Maske Z-Von Z-Bis Aktion verknuepft Prio Rtg-Tag
000e 0 000000000000 192.168.10.0 255.255.255.0 0 0 000000000000 0.0.0.0 0.0.0.0 0 0 limit: accept nein 0 0
Ich weiß nicht was das Prot. 0 bedeutet, aber ist das nicht ein Eintrag der alles aus diesem Netz durchleitet? Oder bin ich hier auf der falschen Fährte?
Wenn ja, wie bekomme ich diesen Eintrag weg?
192.168.0.0 255.255.0.0 0 0.0.0.0 0 nein ja block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0.0.0.0 0 nein ja block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0.0.0.0 0 nein ja block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 0.0.0.0 0 nein ja block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 0 T-ONLINE 0 Ein ja
Meine Default-Route ist dementsprechend die T-Online Verbindung oder nicht!?
Diese Einstellung habe ich so aus der LC-KnowledgeBase übernommen.
Wenn ich das Häkchen entferne, stelle ich kein Unterschied fest.
Mir ist nur aufgefallen, das ich eine Eintrag in der Filter-Liste über das WebConfig habe, welche wie folgt lautet:
Idx. Prot. Quell-MAC Quell-Adresse Quell-Netz-Maske Q-Von Q-Bis Ziel-MAC Ziel-Adresse Ziel-Netz-Maske Z-Von Z-Bis Aktion verknuepft Prio Rtg-Tag
000e 0 000000000000 192.168.10.0 255.255.255.0 0 0 000000000000 0.0.0.0 0.0.0.0 0 0 limit: accept nein 0 0
Ich weiß nicht was das Prot. 0 bedeutet, aber ist das nicht ein Eintrag der alles aus diesem Netz durchleitet? Oder bin ich hier auf der falschen Fährte?
Wenn ja, wie bekomme ich diesen Eintrag weg?
Hi Mr.Scrooge
Poste mal deine Regeln vollständig. Sie sind im Telnet unter /setup/ip-router/firewall/rules zu finden.
Gruß
Backslash
Das siehst du richtig, das ist keine Deny-All sondern eine Allow-All Regel, die als Quelle dein lokales Netz hat. Bist du sicher, daß die Dienste bei deinen Allow-Regeln korrekt gesetzt sind?Mir ist nur aufgefallen, das ich eine Eintrag in der Filter-Liste über das WebConfig habe, welche wie folgt lautet:
Idx. Prot. Quell-MAC Quell-Adresse Quell-Netz-Maske Q-Von Q-Bis Ziel-MAC Ziel-Adresse Ziel-Netz-Maske Z-Von Z-Bis Aktion verknuepft Prio Rtg-Tag
000e 0 000000000000 192.168.10.0 255.255.255.0 0 0 000000000000 0.0.0.0 0.0.0.0 0 0 limit: accept nein 0 0
Ich weiß nicht was das Prot. 0 bedeutet, aber ist das nicht ein Eintrag der alles aus diesem Netz durchleitet?
Poste mal deine Regeln vollständig. Sie sind im Telnet unter /setup/ip-router/firewall/rules zu finden.
Gruß
Backslash
-
Mr.Scrooge
- Beiträge: 5
- Registriert: 27 Mär 2008, 18:37
Hallo backslash,
bin leider am WE nicht an das Gerät rangekommen, deshalb jetzt erst die Regeltabelle.
Komischerweise steht aber hier nichts von den o.g. Eintrag den ich im WebConf gefunden habe.
Gruß,
M.S
bin leider am WE nicht an das Gerät rangekommen, deshalb jetzt erst die Regeltabelle.
Code: Alles auswählen
----------------------------------------------------------------------------------------------------------------------------------
Name Prot. Source Destination Action Linked Prio Firewall- VPN-Rule Stateful Rtg-tag
----------------------------------------------------------------------------------------------------------------------------------
WINS TCP,UDP %S137-139 ANYHOST ANYHOST %Lcds0 @i%R No 0 Yes No Yes 0
ALLOW-INET TCP LOCALNET %S80,443,591,8008,8080 ANYHOST %Lcds0 %A%N No 0 Yes No Yes 0
ALLOW-MAIL TCP LOCALNET %S25,110,119,143,995 ANYHOST %Lcds0 %A No 0 Yes No Yes 0
ALLOW-FTP TCP LOCALNET %S21 ANYHOST %Lcds0 %A%N No 0 Yes No Yes 0
ALLOW-DNS ANY LOCALNET ANYHOST %Lcds0 %A No 0 Yes No Yes 0
DENY-ALL ANY ANYHOST ANYHOST %Lcds0 @i%R%N No 0 Yes No Yes 0Gruß,
M.S
Hi Mr.Scrooge
und hier ist auch schon dein Fehler:
Diese regel erlazbt alles für alle lokalen Rechner. Stattdessen soll sie doch einfach nur DNS zulassen - zumindest vom Namen her - und müßte daher korrekt wie folgt lauten:
Gruß
Backslash
und hier ist auch schon dein Fehler:
Code: Alles auswählen
ALLOW-DNS ANY LOCALNET ANYHOST %Lcds0 %A No 0 Yes No Yes 0
Code: Alles auswählen
ALLOW-DNS UDP LOCALNET %S53 ANYHOST %Lcds0 %A No 0 Yes No Yes 0 Gruß
Backslash
-
Mr.Scrooge
- Beiträge: 5
- Registriert: 27 Mär 2008, 18:37