Habe das Problem gefunden. Wie es aussieht ist das ein allgemeines Problem wenn man kein Update sondern eine neuinstallation macht.
Paket hier herunterladen: https://www.efw-forum.de/www/forum/view…f=38&p=3897
und so installieren:
smart install ulogd-2.0.0-0.endian8.i586.rpm
Nach den Updates der letzten Tage sollte sich das jetzt erledigt haben !
Gruß Sabine
Hi,
welche Updates der letzten Tage?
Bin neu bei der EFW, habe gerade mal die 2.41 installiert vor 4 Tagen.
efw-upgrade bringt mir auch keine updates. Oder muss man hier "bleeding edge" auswählen? ähm...
Habe manuell die libipt_ kopiert nach /lib/iptables/ (Ordner musste ich erstellen) und ulogd n nachinstalliert.
Trotzdem zeigen weder Firewalllogs noch Diagramme irgendeinen Inhalt.
Offtopic:
Ist es eigentlich Absicht, dass bei der Community-Version die glibc-header weggelassen werden, damit man da nicht selber die vmwaretools installiert?
Grüße
Moin,
mit dem 2.4.1 ISO von Endian gibt es wohl einige Probleme, das beste ist hier das letzte IMG von der 2.4 herunterzuladen und dann die Updates von Endian durchlaufen zu lassen.
Der Inhalt der Diagramme wird auch bei mir manchmal nicht angezeigt, erst wenn ich noch mal auf den Button klicke kommt dann ein Diagramm.
Um die Firewall- Logs zu sehen muss man die erst einschalten ( Protokolle / Einstellungen ).
Gruß Sabine
Hi,
Danke! Stimmt, FW Logs waren tatsächlich aus. *large trout überreich*. Funktioniert nun.
Was wird denn da bei den Diagrammen eigentlich angezeigt? Das Vorschaubild nur in groß (Link in neuem Fenster hilft da...)?
Hatte erst angenommen dass da konfigurationsabhängige Diagramme gezeigt werden. Was ja geil gewesen wäre. Aber irgendwie sind das nur typische Standard-Diagramme.
Da der Rest ganz toll läuft, werde ich jetzt nicht nochmal die alte installieren.
Btw. übrigens die einfachst zu konfigurierende Firewall die ich je gesehen habe 
Inkl. IPSEC VPN zu einem entfernten GW, DMZ mit geroutetem public ipv4 Subnetz und Installation ca. 1 Stunde. Einzige was nicht funktioniert ist Source-NAT des DMZ-Subnetzes auf das IPSEC Subnet.
Was allerdings fehlt sind selbst konfigurierbare Policy-Objekte für Adressen, Subnetze und Dienste. Es ist nämlich etwas nervig jedesmal eine Liste von Ports oder Netzen einzutackern.
Was allerdings fehlt sind selbst konfigurierbare Policy-Objekte für Adressen, Subnetze und Dienste.
Es ist nämlich etwas nervig jedes mal eine Liste von Ports oder Netzen einzutackern.
Man kann halt nicht alles haben.
Was wird denn da bei den Diagrammen eigentlich angezeigt?
Das sieht dann so aus:
Gruß Sabine
Mit Sourc-Nat habe ich auch so meine Probleme, einige Ports gehen, andere mit denselben Einstellungen wollen nicht so.
Gruß Sabine
Achsoooooooo.... ja die funktionieren bei mir auch!
Meinte ja eigentlich die Firewall-Diagramme (/manage/firewall/diagram/)
Da bekommt man so Vorschaubildchen die auf Klick Bild einfaden sollten (/toscawidgets/resources/http://endian.firewallgui.web/static/diagram_1.jpg).
Grüße
PS: Hier mal ganz simple meine Source-Nat Einstellung, die nicht mal mit ICMP funktioniert.
Ach das meinst du, da kommt bei mir auch nichts, ist wohl mehr ein Spielzeug.
Gruß Sabine
Naja, wenn du bei deinen Source NAT – Regel unter Diensten <ALLE> nimmst dann schickt der alle Dienst
an die gleiche Adresse und das will man ja normaler Weise nicht.
Bei mir sieht das so aus:
Gruß Sabine
Hm, ne eigentlich net. Deswegen ist es ja Source-NAT, d.h. die Quell-Adresse wird maskiert, nicht der Ziel-Port oder die Ziel-Adresse.
Die Systemregel macht ja genau dasselbe, Alles was über ROT rausgeht, wird vom roten Interface maskiert. Das funktioniert.
Mein Anliegen ist es, sämtliche Source-IPs aus dem DMZ die das VPN-Netz als Ziel haben, auf das Firewall-Interface zu maskieren, welches im VPN Netz liegt.
Was später wirklich auch darf, wird per Firewall geregelt. Bzw. am Ziel-LAN hinter dem VPN steht ja auch ein Security Gateway.
Zusätzliche Firewall-Regeln hab ich auch, bzw, ich hab mal spontan sämtliche ICMP egal von wo nach egal wohin erlaubt.
Irgendwie scheint das Problem der Verkehr zwischen dem DMZ Interface -> Grün -> VPN zu sein.
Deswegen ja auch die Frage nach dem Firewall Log, dass ich mal sehe wo wie was geblockt wird. Dort taucht nix auf 
Von der Firewall selbst kann ich locker mit dem grünen Interface das VPN Lan anpingen (vom grünen LAN sowieso, aber das wird ja auch nicht maskiert).
Von Orange nach Grün ist bei der Endian immer ein Problem, denn da soll ja kein Verkehr statt finden !
Die gehen wohl davon aus das die Endian nur von Usern benutzt wird die nicht wissen was eine DMZ ist
und bevor jemand mit Irgendwelchen Regel das ganze Sicherheitskonzept mit ein paar Regel von
Orange nach Grün demontiert lasen die das lieber nicht zu
Ich habe es selber noch nicht probiert ob man das irgendwie aus hebeln kann.
Gruß Sabine
Interessant...
Ja, man kann dem Server in der DMZ noch ein Interface mit Schnittstelle in Grün geben. Problem gelöst. Und dann beten dass niemand die Kiste hackt 
Mir gings konkret um einen Exchange dort mit ein paar externen Postfächern ohne "kritische Inhalte" mit nem Read-Only Domain Controller um nicht so viel Traffic durchs VPN zu schieben. Die Remote-Site ist nur mit 1 MBit Upload angebunden. Die Site mit der Endian aber 100 Mbit.
Habe jetzt den RODC nach grün verlegt. Der Exchange bleibt in Orange. Dann kann ich den Auth-Traffic per Route ohne NAT von Orange nach Grün per Firewall-Policy erlauben. Außer es geht _überhaupt kein_ Traffic durch diesen Weg.
Der Exchange braucht ja selbst nicht durchs VPN, er muss nur den RODC erreichen können. Dieser wiederum muss dann durch den VPN Tunnel kommen, was ja kein Problem ist.
Ob das funktioniert, soweit bin ich gerade noch nicht...
Aber falls ja, brauch ich garkein Source-Nat mehr... außer über ROT für das grüne LAN.
Garkein Verkehr Orange/Grün kann ich mir aber nicht als KOnzept vorstellen, sonst müsste man konsequenter Weiser sämtliches Portforwarding erst recht deaktivieren.
Schließlich gibts dafür ja die Firewall, um zu definieren was darf und was nicht. Sonst kann ich auch nen Switch nehmen und die physikalisch trennen.
Naja, der Sinn von der DMZ ist es ja das ganze von Grün abzuschotten und nicht noch eine „ zweite „ Angriffszone zu schaffen,
bzw. eine einigermaßen sichere Zone zwischen dem bösen Internet und dem Grünen Netz zu haben.
Sonst könntest du ja gleich einen Webserver in Grün stellen und abwarten was passiert.
Gruß Sabine
Ja genau. Nur ist es doch in der Praxis eher seltener bei Unternehmen, dass man dort simple HTTP Server zu stehen hat die man nur von außen erreichen soll.
In meinem Fall tangiert mich das grüne Netz eher peripher, da das "echte" grüne Netz hinter einem VPN hängt was selbst noch mal ne Firewall hat. Das grüne Netz an der Endian hingegen hat dort keine Clients.
Wenn man bedenkt, dass es gängige Praxis ist im SOHO Bereich per Portforwarding nen SBS-Server im Internet zu exponieren (ROT nach GRÜN), ist das Konzept mit dem Auslagern extern erreichbarer Dienste in die DMZ doch etwas besser.
Dennoch wird man nicht umhin kommen, einzelne Kanäle von der DMZ in irgendein anderes Netz zu öffnen. Ob grün weil das Netz so klein ist, oder BLAU für die periphere Servergroup...
Diese KAnäle lassen sich zusätzlich absichern durch IPSEC, User-Authentifizierung, ALGs...
Sonst verlege ich eben die 2 Linie von GRÜN nach Blau, mir eigentlich egal welche Farbe die haben. Brauch nur an der Site eben 2 Zonen..
Hat sich übrigens nur deshalb ergeben, weil ich bei der Installation der Firewall eine grüne Zone erstellen musste, um die Kiste überhaupt konfigurieren zu können! Sonst guckt man nämlich etwas bescheiden in die Optionen der Console wenn man wie ich das Netz mit Firewall beginnt und danach erst die anderen Rechner aufsetzen will
Grüße
