Hallo zusammen,
ich habe eine für euch vermutlich ganz einfache Frage.
Hardware: 1781EW+, FW: 10.40.0414RU3
Die ALLOW-ALL Regel der Firewall betrifft nur den traffic vom Intranet/Localnet nach draussen, richtig? Also alle Ports sind von der Internet-Seite aus geschlossen/stealth, auch wenn ich eine Allow-Regel anwende?
Beispiel: Wenn ich bei einer spezifischen ALLOW-Regel (Quelle=bestimmte MAC-Adressen, Quell-Dienst=TCP, Ziel-Dienst =TCP, Ziel-Port=51820, Aktion=übertragen) beim Ziel-Dienst TCP hinzufüge und beim benutzerdefinierten Protokoll Port 51820 setze, dann gilt, dass dieser Port nur vom Intranet nach draussen geöffnet wird, Port 51820 ist also Richtung Internet offen aber vom Internet aus geschlossen? Ich will vermeiden, dass die Firewall unbeabsichtigt Löcher "von draussen" bekommt...
Im Moment blockiert die DENY-ALL Regel den Datentransfer über Port 51820 in das Internet.
Vielen Dank
Grüsse
Wolf
1781EW+ Firewall ALLOW-ALL Regel
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 2914
- Registriert: 12 Jan 2010, 14:10
Re: 1781EW+ Firewall ALLOW-ALL Regel
Hi Wolf,
generell lässt diese Allow-All Regel, wie der Name es sagt, alles zu, egal welche Richtung. Bestes Beispiel: Du hast einen VPN. Mit dieser "unsichtbaren" Regel ist jeglicher Zugriff von extern über diesen VPN erlaubt und möglich. Da du aber vermutlich einen ganz normalen Internetanschluss hast mit einer öffentlichen IP-Adresse kommt NAT/PAT hinzu und somit eine Stateful Inspection, die nur eingehende Verbindungen erlauben kann, wenn vorher eine abgehende Verbindung zu genau diesem Ziel/Port aufgebaut wurde. Anders sieht es aus, wenn du z.B. eine Portweiterleitung schreibt auf deinen Webserver TCP 443 : 192.168.100.100. Hier greift dann die Allow All Regel und alle ankommenden Verbindungen gehen durch. Hast du stattdessen eine Firewallregel, die nur deinem RZ die Portweiterleitung erlaubt, und den Rest sperrt, funktioniert halt nur dein RZ.
Der sauberste Weg wäre eine Deny-All Regel und übergeordnet Regeln wie Netzwerk 1 darf Gegenstelle Internet oder beliebig verwenden usw. Meist ist das aber mit Kanonen auf Spatzen geschossen, da in 99% der Fälle der normale NAT/PAT Mechanismus einen ungewollten externen Zugriff verhindert.
Gruß Dr.Einstein
generell lässt diese Allow-All Regel, wie der Name es sagt, alles zu, egal welche Richtung. Bestes Beispiel: Du hast einen VPN. Mit dieser "unsichtbaren" Regel ist jeglicher Zugriff von extern über diesen VPN erlaubt und möglich. Da du aber vermutlich einen ganz normalen Internetanschluss hast mit einer öffentlichen IP-Adresse kommt NAT/PAT hinzu und somit eine Stateful Inspection, die nur eingehende Verbindungen erlauben kann, wenn vorher eine abgehende Verbindung zu genau diesem Ziel/Port aufgebaut wurde. Anders sieht es aus, wenn du z.B. eine Portweiterleitung schreibt auf deinen Webserver TCP 443 : 192.168.100.100. Hier greift dann die Allow All Regel und alle ankommenden Verbindungen gehen durch. Hast du stattdessen eine Firewallregel, die nur deinem RZ die Portweiterleitung erlaubt, und den Rest sperrt, funktioniert halt nur dein RZ.
Der sauberste Weg wäre eine Deny-All Regel und übergeordnet Regeln wie Netzwerk 1 darf Gegenstelle Internet oder beliebig verwenden usw. Meist ist das aber mit Kanonen auf Spatzen geschossen, da in 99% der Fälle der normale NAT/PAT Mechanismus einen ungewollten externen Zugriff verhindert.
Gruß Dr.Einstein
Re: 1781EW+ Firewall ALLOW-ALL Regel
Hi,
und weil es für IPv6 kein NAT/PAT (aka Masquerading) gibt, sind in der IPv6 Firewall im Default in den Forwarding-Regeln eine DENY-ALL Regel und eine Regel ALLOW-OUTBOUND vorhanden...
Gruß
Backslash
und weil es für IPv6 kein NAT/PAT (aka Masquerading) gibt, sind in der IPv6 Firewall im Default in den Forwarding-Regeln eine DENY-ALL Regel und eine Regel ALLOW-OUTBOUND vorhanden...
Gruß
Backslash
Re: 1781EW+ Firewall ALLOW-ALL Regel
Hallo Dr.Einstein und Backslash,
danke für eure Antworten, das hat schon einmal geholfen, denn es gibt Firewalls, wo man auch direkt die Ports von aussen (Internetseite) öffnen kann und das will ich natürlich vermeiden. IPv6 habe ich nicht. NAT ist eingeschaltet.
Hintergrund meiner Frage ist folgender Fall:
Ich habe Android Geräte (Handys, Tablet) mit Blokada (falls ihr es nicht kennt: Werbe-Malware-Tracking-Blocker, der eine VPN-Verbindung simuliert und nicht gewünschte Verbindungen der Apps/des Handys betreffend Werbung etc. filtert, etwas vergleichbar mit dem Pihole. Es gibt als Blokada+ zusätzlich eine WireGuard-VPN-Funktion, die die echten DNS-Anfragen verschlüsselt, per VPN über deren Server schickt und dann an einen wählbaren DNS-Server sendet).
Meine DENY-ALL-Regel vom 1781EW+ blockiert mir leider die Verbindung über das WLAN in das Internet. Auch andere Services werden verhindert (z.B. Threema-Anrufe), aber das muss ich später angehen. Neben der DENY-ALL-Regel habe ich noch einige der von Lancom angebotenen Standard-Regeln laufen (ALLOW DNS, NTP, HTTP/S, SECURE MAIL, SMTP, SSH, FTP, ICMP; BLOCK NETBIOS/WINS)
Gemäss Log der FW werden Anfragen des Handys an den VPN-Server von Blokada mit verschiedenen Quell-Ports (z.B. 42533, 43662, 43207) und einem Ziel-Port (51820) über Protokoll 17 (TCP) von der DENY-ALL-Regel geblockt.
Ich habe deshalb eine relativ wenig strikte FW-Regel erstellt (ALLOW):
Aktion: Accept
Verbindungsquelle/Station: MAC-Adressen der Geräte/Handys mit Blokada
Verbindungsziel: Alle Stationen
Quell-Dienst: Alle
Ziel-Dienst: TCP mit Protokoll 51820
Das hat aber leider nichts gebracht, die Verbindung in das Internet bleibt geblockt.
Im Moment funktioniert es, wenn ich bei der FW-Regel alle Protokolle/Quell-Dienste und alle Protokolle/Ziel-Dienste wähle, also alles öffne.
Habe ich da irgendwo einen Denkfehler bei der FW-Regel?
Oder wäre eine solche Regel unproblematisch?
Danke euch
Gruss
Wolf
danke für eure Antworten, das hat schon einmal geholfen, denn es gibt Firewalls, wo man auch direkt die Ports von aussen (Internetseite) öffnen kann und das will ich natürlich vermeiden. IPv6 habe ich nicht. NAT ist eingeschaltet.
Hintergrund meiner Frage ist folgender Fall:
Ich habe Android Geräte (Handys, Tablet) mit Blokada (falls ihr es nicht kennt: Werbe-Malware-Tracking-Blocker, der eine VPN-Verbindung simuliert und nicht gewünschte Verbindungen der Apps/des Handys betreffend Werbung etc. filtert, etwas vergleichbar mit dem Pihole. Es gibt als Blokada+ zusätzlich eine WireGuard-VPN-Funktion, die die echten DNS-Anfragen verschlüsselt, per VPN über deren Server schickt und dann an einen wählbaren DNS-Server sendet).
Meine DENY-ALL-Regel vom 1781EW+ blockiert mir leider die Verbindung über das WLAN in das Internet. Auch andere Services werden verhindert (z.B. Threema-Anrufe), aber das muss ich später angehen. Neben der DENY-ALL-Regel habe ich noch einige der von Lancom angebotenen Standard-Regeln laufen (ALLOW DNS, NTP, HTTP/S, SECURE MAIL, SMTP, SSH, FTP, ICMP; BLOCK NETBIOS/WINS)
Gemäss Log der FW werden Anfragen des Handys an den VPN-Server von Blokada mit verschiedenen Quell-Ports (z.B. 42533, 43662, 43207) und einem Ziel-Port (51820) über Protokoll 17 (TCP) von der DENY-ALL-Regel geblockt.
Ich habe deshalb eine relativ wenig strikte FW-Regel erstellt (ALLOW):
Aktion: Accept
Verbindungsquelle/Station: MAC-Adressen der Geräte/Handys mit Blokada
Verbindungsziel: Alle Stationen
Quell-Dienst: Alle
Ziel-Dienst: TCP mit Protokoll 51820
Das hat aber leider nichts gebracht, die Verbindung in das Internet bleibt geblockt.
Im Moment funktioniert es, wenn ich bei der FW-Regel alle Protokolle/Quell-Dienste und alle Protokolle/Ziel-Dienste wähle, also alles öffne.
Habe ich da irgendwo einen Denkfehler bei der FW-Regel?
Oder wäre eine solche Regel unproblematisch?
Danke euch
Gruss
Wolf