verstehe Paketfilter nicht

[Robocop 10]

hallo,

 

habe einen router (BILLION bipac 640) und kann dort 10 Regeln für Paketfilter vergeben.

 

Richtung kann sein eingehend oder ausgehend

 

Wenn ich jetzt eine Regel definiere, dass alles von innen nach draussen darf, so funktioniert dies wunderbar.

 

wenn ich jetzt eine zweite Regel definiere, dass von draussen nach Innen lediglich eine bestimmte IP und Ports erlaubt sind, habe ich sofort keinen Internetzugang mehr.

 

Billion sagt, die Regeln sind oder Regeln, die nacheinander abgearbeitet werden.

 

nun verstehe ich nicht so ganz: die erste Regel erlaubt mir doch den Aufruf von beliebigen Internetseiten.

 

zb. *.*:80 ausgehend erlaubt

 

angeblich ist es eine SPI-Firewall. Regel 2 sollte doch dann nicht beachtet werden!??

 

Das Problem an der Geschichte ist.

 

Ich möchte allen Surfern den Zugriff aufs Inet erlauben, alle Ports.

 

Gleichzeitig soll mein DNS-Server (und nur dieser) Anfragen aus dem Inet erhalten dürfen (port53).

 

Kann es vielleicht sein, dass es hierfür keine Regeldefinition gibt?

 

Was ich auch nicht verstehe ist, wenn ich eine Regel definiere, was passiert mit den anderen Paketen die nicht auf die Regel zutreffen?

[blacksword 10]

Morgen!

 

Mal sehen...

 

Also Regel eins von dir läßt alles nach außen zu.

 

Regel ZWEI läßt nur eine bestimmte IP und Port zu.

 

Hier ist der Fehler, wenn du dort z.B. den DNS-Port einträgst, werden nur diese Pakete durchgelassen und alle anderen verworfen...

 

Es werden beide Regeln beachtet und funktionieren auch.

 

Du müßtest alle DNS-Paket an die IP deines DNS-Servers weiterleiten (Stickwort: "Port-Forwarding"). Also eintragen, dass beim eingehendem Verkehr der Port 53 auf DNS-intern weitergeleitet wird.

 

Gruß

BS

[FLOST 10]

Das kann es ab er nicht sein. Die Firewall soll ja nur die Pakete abblocken, die von ausen kommen, ohne das von innen was angefordert wurde. Gibts zu dem Ding keine Doku im Inet?

 

FG

 

fLOST

[Muelli 10]

Hi,

 

beschreibe doch mal etwas genauer, was Du im einzelnen für Regeln definiert hast

' raus/rein, IP range, Protokoll, ...'

Normalerweise musst Du nach draußen Port 80 und 53 öffnen und das Internet müsste erst mal klappen. Nach innen kannst Du normalerweise alles zumachen. Ein Router lässt eigentlich alle Antwortpakete auf Anfragepakete auch wieder rein. Für die Antwortpakete kennst Du sowieso nicht die Port Nummern auf denen sie wieder zurückkommen.

Warum willst Du Port 53 nach innen öffnen? Willst Du DNS Anfragen aus dem Internet beantworten

Gruß

Mülli

[Robocop 10]

erstmal vielen Dank.

 

Die Doku ist ziemlich dürftig von Billion. Ich finde sie absolut unzureichend.

Die haben anscheinend schon genug verdient und wollen keine Router mehr verkaufen :-)

 

aktiv richtung source-ip source-port destination ip destination port

Regel1:

ja out

[Robocop 10]

Doku zu paketfilter ist ziemlich dürftig von billion haben die wahrscheinlich nicht nötig, weil die nur verkaufen wollen. Dort steht Regel sind oder-verbindungen trifft paket auf eine regel zu wird sie ausgeführt, dann kommt die nächste regel.

 

hier meine 2 Regeln:

 

aktiv richtung source-ip source-port destination-ip destination-port log

 

regel1:

 

yes out *.* *.* *.* *.* yes

 

regel2:

 

yes in *.* *.* 192.168.1.13 53 yes

 

 

Die IP ist nur beispielhaft, das ist mein DNS-Server, es ist eigentlich eine öffentliche IP.

 

sobald ich regel 2 eintrage, haben die rechner von innen nach aussen keinen zugriff mehr.

 

der witz ist es ist eine oder - Regel zuerst müsste doch regel 1 abgearbeitet werden und alles klappen, oder nicht?

[FLOST 10]

Guten Morgen.

 

Ich denke, die Firewall lässt zwar die Pakete raus, aber keine rein. Hast du die Sterne für das Board gesetzt oder ist das in der config so?

 

Ansonnsten aschau mal hier:

 

http://firewalling.com/billion/bipac-640ae.htm

 

Da gibts Beschreibungen :)

 

FG

 

fLOST