Grundsätzliche Frage Firewall und NAT???

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Grundsätzliche Frage Firewall und NAT???

Beitragvon chris66 » Do 02.02.2006 - 22:40

Hallo Freunde.

Ich habe eine grundsätzliche Frage zu der Funktionsweise der Firewall und des NAT bei Draytek.

Ich dachte nun ein eingehendes Datenpaket wird immer in der Reihenfolge behandelt: (siehe http://www.vigor-users.de/gr_nat-routing.htm)

1. Paketfilter (Data Filter IN)
2. NAT Active Sessions Table
3. Port Redirection
4. Open Ports
5. DMZ


Bei der üblichen Konstelation des Paketfilters (IN Direction) mit mehreren pass immediately Regeln und einer abschließenden block immediately Regel, die alles vorher nicht erlaubte blockt, hätte dies hat ja zur Folge, dass alle Ports, welche im NAT geöffnet werden (Open Ports, Ports Redirection) auch im Paketfilter der Firewall freigegeben werden müssen... oder besser gesagt mit folgender Einschränkung:
alle Ports, über die nicht zuerst ausgehend kommuniziert wird (welche dann ja durch Statefull Inspection im Paketfilter "offen" wären) sondern bei welchen zuerst eine eingehende Kommunikation statt findet (P2P, Filetransfer bei Messengern) müssten zusätzlich zum NAT noch im Paketfilter eine pass immediately Regel bekommen.

Soviel zur Theorie...

Hier der Auszug meiner Mail an den Draytek Support:
> ........
> Ist es richtig, dass alle Datenpakete in eingehender Richtung den
> Router in folgender Weise passieren:
>
>
>
> 1. Paketfilter (Data Filter IN)
> 2. NAT Active Sessions Table
> 3. Port Redirection
> 4. Open Ports
> 5. DMZ
>
>
>
> Müssten also demnach alle Ports, welche im NAT Setup (Port Redirection
> & Open Ports) geöffnet werden auch im Paketfilter (IN Direction) der
> Firewall geöffnet werden? (zumindest für die Ports, welche nicht als
> erstes in ausgehender Richtung benutzt werden und somit durch
> Statefull Inspection offen wären, müsste man das ja machen, oder?)
>
> Der Paketfilter soll nach dem üblich Muster mit mehreren "sofort
> passieren“ Regeln mit einer abschließenden "alles blockieren“ Regel
> aufgebaut werden.
>
>
>
> Kann es sein, dass die bereits vordefinierten Netbios Filterregeln des
> Default Call Filter und des Default Data Filter in allen Draytek
> Firmwares vertauscht sind? Der Call Filter kontrolliert doch, ob durch
> das gesendete Datenpaket überhaupt eine Verbindung "nach außen“ aufgebaut werden darf.
> Also müssten doch Datenpakete in ausgehende Richtung im Call Filter
> überprüft werden. Im Standard Setup von Draytek wird aber in der
> 1.Regel des Call Filters ("Block Netbios“) die Richtung "Rein“
> überprüft, hingegen wird in der 1.Regel des Datafilters (xNetBios ->
> DNS) die ausgehende Richtung Netbios --> DNS blockiert. Welchen Sinn
> hat ein Call Filter in eingehende Richtung?
>
> Wäre es nicht logischer, dass der Call Filter die ausgehenden Netbios
> Pakete blockiert (also erst gar keinen Verbindungsaufbau zulässt) und
> der Datafilter alle eingehenden Anfragen auf den Netbios Ports sofort
> blockiert?
>
>
>
> Mit freundlichen Grüßen / best regards
> ......



Hier die Antwort:

Guten Tag Herr xxxxxx,

zuerst wirkt das NAT und zuletzt die Filterregeln.

Da der Call Filter nur in eine Richtung wirkt - Raus, ist es egal ob als Richtung Rein oder Raus ausgewählt wird. Es wird immer automatisch die Verbindungsrichtung Raus gewählt.

Mit freundlichen Grüßen

xxxxxxxxxxx

***********************

help@draytek.de



Das mit den merkwürdigen Standard Netbios Regeln macht somit Sinn. ...auch wenn ich den Callfilter bei mir schon auf block 137-139 "ausgehend" geändert habe und auch im Datafilter noch eine Regel habe die alles ausgehend auf 137-139 blockt, eingehend wird ja mit der letzten block all Regel eh auch Netbios geblockt.

Aber zurück zum eigentlichen Thema....
Laut Draytek Support wirkt zuerst das NAT und dann der Paketfilter, also genau anders herum. Dann müsste man ja die Ports auch nur im NAT aufmachen und braucht dies im Paketfilter nicht zu tun...

Habe das probiert und all meine pass immediately Reglen deaktiviert... P2P (emule) funktioniert dann beispielsweise nicht mehr.

Also wer hat nun recht :| ???
Benutzeravatar
chris66
Ambitionierter User
 
Beiträge: 80
Registriert: Fr 15.04.2005 - 21:50

Beitragvon frank_m » Fr 03.02.2006 - 19:16

Hallo,

Es gibt es (vielleicht nich ganz passendes) Sprichwort: "Trau keiner Statistik, die du nicht selbst gefälscht hast".

Will heißen: Ich glaube im Zweifel dass, was ich selbst getestet habe. Lass den am anderen Ende des Supports mal erzählen was er will.

Ich denke, deine Betrachtung ist die Richtige. Ich habs zwar explizit nie durchprobiert, aber mein Verständnis ist das selbe.

Viele Grüße

Frank
Router: FBF 7050 14.04.15
Netz: T-Net analog mit 1und1 DSL 6000 (3072 kBit) + 1und1 Deutschland Flat
VoIP: 1und1, GMX und sipgate über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF
frank_m
Super-User
 
Beiträge: 321
Registriert: Mi 12.10.2005 - 17:45


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron