Filterregel WAN-LAN erstellen

Dieses Thema im Forum "DrayTek (Vigor)" wurde erstellt von vigoruser, 13. August 2010.

  1. vigoruser

    vigoruser Starter

    Registriert seit:
    13. August 2010
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo Leute,

    ich war ja von Draytek immer überzeugt, nun beschäftige ich mich ausgiebiger mit Firewalls und komme hier bei den Filtern und Regeln ganz schön ins Schleudern! Zur Logik der Abarbeitung von Regeln und Regelsets vermisse ich in den Anleitungen von Draytek ausführlichere Erläuterungen, da die Materie schon eine "gewisse" Einarbeitung erfordert. Gelungen dagegen der Web Content-Filter, blockt zuverlässig z. B. Porno-Seiten, lässt dagegen Sites mit Artikeln zu sex. Aufklärung zu!

    Da ich gerade beim "Spielen" bin, habe ich nun eine Regel erstellt, die Netzwerkverkehr von allen Ports aus WAN zu LAN blocken soll. Die Firewall reagiert jedoch nicht darauf, obwohl damit bspw. kein Webseitenabruf aus dem Internet möglich sein sollte. Im Syslog finde ich nur "PASS"-Einträge. Liegt das an der SPI-Funktion, was mache ich falsch? Andersherum funktioniert es sofort (innen nach außen), ist natürlich auch sinnvoller, aber warum lassen sich von außen nach innen nicht gezielt Ports blocken?

    Mit freundlichen Grüßen

    Vigor III.
     
  2. blacknwhite

    blacknwhite Starter

    Registriert seit:
    10. August 2010
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Korrigiert mich wenn ich falsch liege, aber ich dachte so lange ein Port WAN => LAN nicht explizit geregelt ist, ist er erstmal standardmäßig zu, oder nicht?
     
  3. vigoruser

    vigoruser Starter

    Registriert seit:
    13. August 2010
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Hallo blacknwhite,

    ja, dem stimme ich zu, allerdings nur für nicht erwartete Paket (stateful inspection). Bei einer gestatteten Anforderung - bspw. einer Internet-Seite - werden die Ports, an denen der Client auf eine Antwort wartet, geöffnet.

    Wenn ich jetzt eine Regel erstelle, die sämtliche Quell-IPs von sämtlichen Ports an jede Ziel-IP und jeden Ziel-Port in Richtung LAN sperren soll, dann lässt sich jedoch munter weiter surfen und downloaden. E-Mail-Abruf funktioniert ebenfalls weiter, nur ein Audio-Streaming wird gestoppt.

    Ich kann nur vermuten, dass diese Regel bei standardmäßigen Zielports nicht greift, weil die Programmierer keinen Sinn darin sahen. Aber beim Streaming wird ja anscheinend doch geblockt ...
    Die neueste Firmware ist übrigens schon geflash, Version 3.3.3_2111112

    MfG, Vigor III.
     
  4. blacknwhite

    blacknwhite Starter

    Registriert seit:
    10. August 2010
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Das könnte daran liegen, dass beim Streaming ein aktives Verfahren von Serverseite erfolgt. Bzw. der Server an den Client auf einem anderen Port sendet als er die Anfrage bekommen hat. Bsp. Der Client fragt über eine Website den Stream ab (Port 80) der Server sendet den Stream aber auf irgendeinem anderen Port.
     
  5. vigoruser

    vigoruser Starter

    Registriert seit:
    13. August 2010
    Beiträge:
    3
    Punkte für Erfolge:
    1
    Ja, das könnte eine Erklärung sein. Ich bedanke mich jedenfalls für deine Beiträge und melde mich wieder, wenn ich etwas neues habe ;-)

    Einen Hinweis noch: bei neueren Draytek-Modellen muss man in der Firewall-Einstellung bei Ziel- und Quell-IP-Adressen auch noch die Netzwerkmaske mit einem Drop-Down-Menü einstellen. Wenn nur eine EINZELNE interne IP-Adresse angesprochen werden soll, muss die Netzwerkmaske auf 255.255.255.255 stehen, sonst funktioniert die Regel nicht!!
    Da soll man erst einmal drauf kommen ... ich hoffe, dass Draytek hier noch verbessert im Sinne von mehr intuitiver Bedienung.

    MfG, Vigor III.