Generelles Sperren von IP-Ranges Inbound

1. offizieller Beitrag

    Hallo Zusammen,

    ich habe jetzt nur einiges auf den Kopf gestellt und Foren durchsucht.

    Leider habe ich aber keine Lösung für folgendes Szenario gefunden:
    Ich möchte eine gewisse IP-Range in der Efw für den Zugriff auf alle Interfaces sperren.
    Sprich: Kommt eine Anfrage am roten IF der Endian an und stammt aus einer bestimmten IP-Range, so
    soll dieser Zugriff geblockt werden und keine Weiterleitung an irgendein anderes IF erfolgen.

    Also eigentlich eine Standardaufgabe einer Firewall. Nur irgendwie finde ich keine Einstellung dafür.

    Kann mir jemand einen Tipp geben, wo ich noch suchen könnte, um dieses Problem zu lösen?

    Vielen Dank

    Uziel

    Hey Uziel

    ICh nehme mal an das du solche IpRanges sperren willst z.B. 112.15.x.x : 123.95.x.x ?

    Also die frage hab ich mir auch schon gestellt und meine auch gelesen zu haben das es nicht geht.

    Was funktioniert aber aufwendig ist, ist das Sperren der ganzen Adressbereiche z.B. 112.15.0.0/16 , 112.16.0.0/16 , 112.17.0.0/16 ... ... 112.95.0.0/16.
    Alles was sich jetzt jeweils in diesen Netzen befindet wird gesperrt. Ist zwar ein bisschen aufwendig aber hilf.

    Gruß BossBort

    Hallo BossBort,

    das Umsetzen der Ranges in Subnetze, bzw. das bestimmen der Masken, ist nicht das Problem.
    Im Gegenteil, die habe ich sogar. Nur wie kann ich die Sperren?

    Unter dem Punkt Firewall habe ich ja lediglich die NAT-Option. Die bringt mich nicht weiter.
    Eine Systemregel beschränkt ja lediglich den Zugriff auf die efw selber.

    Also wo und wie müsste ich denn diese Einstellung vornehmen?
    Es handelt sich um die efw 2.2.rc3.


    Besten Dank für Deine Hilfe.


    Gruß

    Uziel

    Hallo BossBort,

    mein Satz war so gemeint, daß ich ausser der NAT und den Systemregeln keinen Punkt dort habe, der mir sinnig erscheint. ;)
    Sorry für die unklare Formulierung.

    Die Systemregel hatte ich auch schon für die Umsetzung ausgemacht. Ein Test mit einer externen IP eines anderen Servers ergab aber keine
    positives Ergebnis.

    Ich hänge mal einen Screenshot der gemachten Einstellung an. Trotz Eintrag der IP, egal ob einzelne IP oder als "Netzwerk" mit /32 unter Ablehnung sämtlicher Dienste kann ich ohne Probleme von der "geblockten" IP auf alle Server, bzw. hinter der efw zugreifen. Sämtliche Server und Dienste befinden sich am IF Green und nicht in der DMZ.


    Gruß

    Uziel

    Also du versuchst mit externen Server mit der IP 81.X.X.X /32 auf dein Endian System zuzugreifen. Das klappt obwohl es nicht soll.
    Also ich habs selbst gestern bei uns im Netz gestestet und da hat es funktioniert. Aber ich kann ja nochmal schauen was ich anders gemacht habe. Es sah aber im Prinzip so aus wie deine Konfiguration. Ich bin dann im Endeffekt soweit gegangen, dass ich mich selbst über die FW-Regeln ausgesperrt hatte. Hab anstelle der roten Quellschnittstelle, Alle gewählt und schwubs war ich komplett raus. Konnte dann die Konfig nur über die Shell der Endian rückgängig machen. Also nur mal um zu zeigen das es wirklich Funtioniert hat :)

    Ich schau nochmal nach ;)

    EDIT: Hab vergessen was du denn vom externen Server alles probiert hat.? Hast du nur nen ganz normalen Ping probiert oder versucht dich über SSH einzuwählen.

    Gruß BossBort

    Hallo BossBort,

    nein, auf die efw selber kann nicht zugegriffen werden, zumindest nicht auf die von der efw bereitgestellten Konfigurationsmöglichkeiten (Web, SSH).
    Das ist also in Ordnung.

    Ich skizziere mal, damit es deutlicher wird:

    0.0.0.0
    |
    efw
    / | \
    srv1 srv2 srv3

    Sämtliche Server (srvX) hängen am grünen IF der efw. Die efw verwaltet einen ganzen Schwung öffentlicher IPs und je nach angefragter IP und / oder Service
    leitet die efw dann die Anfrage per NAT auf den entsprechenden Server weiter.

    Beispiel: Webseitenaufruf der URL http://example.com landet auf der efw. Die efw leitet dann entsprechend der IP von example.com und dem Service (http) auf den Port 80 vom srv2 weiter, wo der zuständige Apache für example.com werkelt.

    So weit, so gut. Funktioniert ohne Probleme.

    Jetzt möchte ich folgendes erreichen:
    Sollte die Anfrage nach http://example.com aus dem Subnet 213.230.0.0/19 kommen, soll die efw nicht auf den Port 80 vom srv2 forwarden, sondern den
    Request rejecten, droppen, was auch immer.

    Hoffe, ich habs nicht zu wirr formuliert.

    Besten Dank

    Uziel

    Also ich würd das so machen wie ich das vorhin glaube ich schonmal beschrieben hab.

    Wenn die IP aus dem Netz X (meinetwegen Afghanistan) auf deinen Webserver http://example.com zugreifen will soll die weiterleitung ja so früh wie möglich unterbunden werden. Dafür steht die Firewall Systemzugriff. Welche Quell IP versucht auf welcher Schnittstelle auf das Endian System zuzugreifen und welchen Server oder Host zu erreichen?
    Das ist die Frage die sich gestellt werden muss. Auf welcher schnittstelle ist klar. Die Rote. Also die aus dem Internet. Welche IP bzw. welcher IP Adressbereich weist du auch.
    Das lässt du einfach ablehnen. Sollte jetzt aus diesem IP-Adressbereich eine HTTP Anfrage an deinen Server http://example.com im Grünen Netz kommen, wird dieses von der Firewall ohne , dass diese überhaupt direkt ins Endian System gelangt verworfen.

    Hab es grad mit nem PC aus nem anderen Netz getestet und es funktioniert einwandfrei. Ich bekomm zwar die den namen vom DNS Server in die IP aufgelöst aber bleibe an der eingehenden FW auf der roten Schnittstelle hängen. Weiter komme ich absolut nicht. Nicht mal n einfaches ICMP Paket wird durchgelassen :)

    Hoffe das war jetzt einigermaßen zufriedenstellend :)

    Gruß BossBort

    Hallo BossBort,

    genau nach Deiner Anlweitung habe ich es ja getestet, bzw. auch vorher schon einmal eingestellt gehabt, da ich dies auch als Lösung in Erwägung zog.

    Aber der gewünschte Effekt wird nicht erzielt.

    So sieht die Einstellung in den Systemzugriffsregeln aus:


    Die IP 81.169.179.X ist ein externer Server von mir. Anfragen von ihm kommen also aus dem "Internet" / IF Red zur efw. Gemäß dieser Einstellung
    müsste alles geblockt sein. Ein Ping vom externen Server aus geht auch nicht, das ist aber eh standard.

    Um diese Einstellung zu testen habe ich nun vom externen Server aus versucht eine Telnet-Session auf einen Mailserver hinter der efw / IF Green aufzubauen.
    Und siehe da: Kein Problem. Die Systemregeln scheinen also nicht zu greifen, wenn ein Portforwarding in irgendeiner Form eingetragen ist.
    Hier ein Screenshot aus dem Log:


    Und das ist auch mein ganzen Problem, an dem ich hier knabbere....

    Gruß

    Uziel

    Hallo,

    ich hab das ganze auch mal ausprobiert.

    Eine IP von ausen genommen und eingetragen siehe Screenshot.
    Aber wenn ich von der IP eine Verbindung aufbaue auf die EFW kommt ich drauf und kann die WebSeite öffnen.

    Ich frag mich doch da mal echt was geht da schief.

    gruß wolfi

    Das is mir auch ein Rätsel jetzt. Das Problem das ihr jetzt habt das habe ich mit der ausgehenden Firewall. Aber das liegt schätzungsweise an der VM auf der ich momentan meine Endian-Testumgebung zu laufen hab.
    Vielleicht funktioniert es ja die FW-Regeln zu den Systemregeln manuell hinzuzufügen. Aber wo sich diese Befinden muss ich auch erstmal schauen.

    EDIT: So wie es aussieht sind die Systemregeln hier in irgendeiner Datei in diesem Verzeichniss definiert.
    # /etc/firewall/inputfw/

    Gruß BossBort

    Einmal editiert, zuletzt von BossBort (2. April 2009 um 08:38)

    Hallo BossBart,

    scheinbar werden da also die NAT-Regeln über die Sys-Regeln gestellt. Ein sehr unangenehmes Verhalten.

    Aber wenigstesn konntest Du das nun reproduzieren und ich weiß, daß es nicht an der Installation, bzw. Konfiguration
    liegt.

    Leider habe ich zu diesem Thema auch nichts auf der offiziellen Mailingliste gefunden.
    Also werde ich dort mal ein Topic eröffnen und schauen, was dort an Feedback kommt. Ob es sich um ein gewünschtes Verhalten handelt,
    oder schlicht einen Fehler.


    Gruß

    Uziel

    Hallo BossBort und Uziel,

    habts ihr mal versucht villeicht die ensprechende iptable selber einzutragen ohne GUI via SSH?
    Kannst uns ja auf dem laufenden halten.

    Edit: Habe gerade mal versucht die iptables zu speichern und mir direkt anzusehen

    gruß

    Mein Computer kann alles, wegen seiner 32 Bit!
    Wenn ich 32 Bit intus habe, kann ich auch alles!

    • Offizieller Beitrag

    Hallo,
    wer will kann ja mal versuchen die Firewall iptables grafisch darstellen zu lassen.
    Mit dem Programm lassen sich auch welche generieren.

    Programm: http://www.fwbuilder.org/netcitadel/index.html

    iptables aus der EFW speichern via ssh

    Code
    iptables-save > iptables_efw.txt

    Das dann via WinSCP runterkopieren und in den FirewallBuilder importieren.

    gruß

    Ich werde es später mal testen, komme grad nur nicht dazu.

    Allerdings fürchte ich, daß händisches Eintragen auch nicht zum Erfolg führt. Denn auf nicht "genatteten" Ports funktionieren die Sys-Regeln ja.
    Also wenn ich von "Reject" auf "Drop" beispielsweise umstelle, dann sehe ich das sofort bei einem Pingversuch von einer gesperrten IP aus.
    Nur greift diese Rule halt nicht, wenn der Port per NAT geforwardet wird.

    Aber wie gesagt: Versuch macht klug. ;)

    Prinzipiell wäre es aber ärgerlich, denn den Umstieg auf die efw wollte ich vollziehen, um auch einem linuxunkundigen Sys-Admin die Pflege der FW zu ermöglichen. Sonst hätte ich auch bei netfilter/shorewall bleiben können.

    Warten wir ab, was die Tests so ergeben.


    Gruß

    Uziel

    • Offizieller Beitrag

    Was mich noch interessieren würde,
    ob das ein generelles Problem ist oder das nur bei der Community Version auftauch.

    Werde das mal mit einer Appliance gegenprüfen.
    gruß

    • Offizieller Beitrag

    Also, habe das hier gerade gelesen, vielleicht verstehe ich das ja ganz falsch ?
    Aber wen der SSH- Zugriff auf der Endian aktiviert ist, geht das von allen Schnittstellen und kann auch nicht mit irgend einer Regel blockiert werden, das soll wohl verhindern das man sich selber ausschließt. Das kann auch bedeuten das der SSH- Zugriff durch die Endian durch läuf.
    Falls ich das ganze falsch verstanden habe, schon mal Sorry !

    • Offizieller Beitrag

    So hab das ganze nun mal probiert.

    zu erst Portweiterleitung auf den AccessPoint der hat Port 80 offen würs Webmanagement

    siehe Bild appliance_mini_fw1.jpg

    getestet .. funktioniert ok nun die sperre für eine bestimmte IP

    wie in Bild appliance_mini_fw2.jpg

    Aktuelle Firewall Einstellungen übernommen allerdings funktioniert trozdem noch der Zugriff.

    ist schon recht merkwürdig,
    das sollte so nicht sein.!

    gruß

    Also ffischer hat jetzt das ganze auch mal auf ner Hardware Applience getestet.
    Dort besteht das problem auch.
    Er hat das Problem an den Endian Support weitergeleitet. Jetzt ist nur noch abwarten und Tee trinken angesagt.
    Mal schauen was der Support dazu sagt und wann oder ob ein Hotfix für diesen doch schwerwiegenden Bug rauskommt.

    Gruß BossBort