Verzweifle etwas an Filterregeln? Wie outbound blocken?

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Verzweifle etwas an Filterregeln? Wie outbound blocken?

Beitragvon vigohr » Sa 21.02.2009 - 13:57

Hallo liebe Spezialisten!

Irgendwie komme ich mit den Filterregeln meines neuen (ersten) Draytek 2700 (2.8.2) nicht klar.

Ich möchte das Teil so einstellen, dass aller outbound traffic geblockt wird, bis auf diverse Ports. Dabei sollen alle PCs aus dem internen LAN dieselben Regeln bekommen.

Die Ports
TCP: 25, 53, 80, 110, 443
UDP: 123
sollen outbound erlaubt sein. Mehr nicht.

Wie muß ich das einstellen damit es funktioniert? Wenn ich im Filter Set 2 in den Rules 1 bis 6 die o.a. Ports einstelle mit jeweils pass immediately und in Rule 7 ein block immediately bei leer gelassenen Port Feldern, dann wird nach Abspeichern einfach alles nach outbound geblockt.

Es macht auch keinen Unterschied, wenn ich statt der Rule 7 im o.a. Bsp ein Forward auf Set 12 mache und dort in Rule 1 das block.

Es geht auch nicht, wenn ich im Set 2 auf Rule 1 ein block if no further match setze und in den Rules 2 bis 7 dann die o.a. Ports öffne.

Diese Bedienlogik des Draytek ist mir noch nicht eingängig geworden und ich finde auch nicht wirklich was in Foren oder Bedienungsanleitung, was mir ohne Studium von dutzenden von Seiten weiterhelfen würde...

Hoffentlich kann mir einer von Euch weiterhelfen...

Danke schon mal dafür :-)
vigohr
Grünschnabel
 
Beiträge: 6
Registriert: Sa 21.02.2009 - 13:18

Beitragvon nobody » Sa 21.02.2009 - 15:15

Hast Du Dir das:
http://www.draytek.com/support/support_ ... turing.php

mal angeschaut ?
Vielleicht wird es dann verständlicher.....
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon vigohr » Mo 23.02.2009 - 10:35

Jetzt hab ichs :D

Mein Fehler war, dass ich die zu erlaubenden Ports (also z.B. 80) auch bei den Sourcen und nicht nur bei den Destinations vorgegeben hatte. Da aber die Quellports ganz andere sind, mußte die Firewall blockieren.

Fazit ist für mich: bei den Source-Ports lasse ich frei, und gebe nur die Destination Ports an.

Sollte doch ausreichen, nicht war?

Vielen Dank nochmal :-)
vigohr
Grünschnabel
 
Beiträge: 6
Registriert: Sa 21.02.2009 - 13:18

Beitragvon nobody » Mo 23.02.2009 - 14:21

Hi,
Ganz genau, das ist richtig.
Eine TCP/UDP verbindung ist meist von einem zufallsport > 1024 zu einem bekannsten port, z.B. 80 fuer http.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon vigohr » Mo 23.02.2009 - 17:06

Danke. Ich weiß ja nicht wieviele außer mir damit ihre Startschwierigkeiten haben. Vielleicht wäre das ja was für eine Ergänzung in den FAQ's...

(vielleicht liest der Moderator hier ja mit :wink: )
vigohr
Grünschnabel
 
Beiträge: 6
Registriert: Sa 21.02.2009 - 13:18


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste