Beiträge von Uziel

Hallo Frank,

ja, dieses Feature, also dieses Eingabefeld ist auch in der 2.2.rc3 Community Edition vorhanden.
Aber sein Sinn erschließt sich mit nicht ganz. Auf dem Screenshot ist also definiert:

Alle Quellen Port 443 an LAN-IP 443
Und mit dem Plus: Zugriff von bestimmter IP erlauben
Aber das ist ja eh schon mit "Allen Quellen" geregelt.

Oder kehrt dann das Setzen dieser Funktion die Regeln um? Also von allen Quellen erstmal verbieten und nur von der zusätzlich definierten erlauben?

Wobei das für diesen konkreten Bedarfsfall jetzt auch unbrauchbar wäre. Weil mit dem "Plus" dann den den Rest der Welt ausser der zu sperrenden Range hinzufügen.... *gg*

Naja, warten wir es ab. Ich bin nur wirklich verwundert, daß dieses Feature noch nie jemand angefragt hat...

Gruß

Marc

Hui, das ist nun eine wirklich überraschende Antwort.

Ja, sowas sollte ein Grundfeature einer Firewall sein, denn, ob ein Kunde zugreifen möchte oder nicht, ist mir erstmal "hupe".
Ich als Admin entscheide, ob er zugreifen darf, oder nicht.

Aber auf jeden Fall besten Dank für Deine Bemühungen. Ich werde mit sicherheit die endian weiter im auge behalten,
aber vorerst dann bei einem kostenpflichtigen Konkurrenzprodukt bleiben und für andere Anwendungszwecke bei der Shorewall bleiben.

Viele Grüße

Uziel

Ich werde es später mal testen, komme grad nur nicht dazu.

Allerdings fürchte ich, daß händisches Eintragen auch nicht zum Erfolg führt. Denn auf nicht "genatteten" Ports funktionieren die Sys-Regeln ja.
Also wenn ich von "Reject" auf "Drop" beispielsweise umstelle, dann sehe ich das sofort bei einem Pingversuch von einer gesperrten IP aus.
Nur greift diese Rule halt nicht, wenn der Port per NAT geforwardet wird.

Aber wie gesagt: Versuch macht klug.

Prinzipiell wäre es aber ärgerlich, denn den Umstieg auf die efw wollte ich vollziehen, um auch einem linuxunkundigen Sys-Admin die Pflege der FW zu ermöglichen. Sonst hätte ich auch bei netfilter/shorewall bleiben können.

Warten wir ab, was die Tests so ergeben.

Gruß

Uziel

Hallo BossBart,

scheinbar werden da also die NAT-Regeln über die Sys-Regeln gestellt. Ein sehr unangenehmes Verhalten.

Aber wenigstesn konntest Du das nun reproduzieren und ich weiß, daß es nicht an der Installation, bzw. Konfiguration
liegt.

Leider habe ich zu diesem Thema auch nichts auf der offiziellen Mailingliste gefunden.
Also werde ich dort mal ein Topic eröffnen und schauen, was dort an Feedback kommt. Ob es sich um ein gewünschtes Verhalten handelt,
oder schlicht einen Fehler.

Gruß

Uziel

Hallo BossBort,

genau nach Deiner Anlweitung habe ich es ja getestet, bzw. auch vorher schon einmal eingestellt gehabt, da ich dies auch als Lösung in Erwägung zog.

Aber der gewünschte Effekt wird nicht erzielt.

So sieht die Einstellung in den Systemzugriffsregeln aus:

Die IP 81.169.179.X ist ein externer Server von mir. Anfragen von ihm kommen also aus dem "Internet" / IF Red zur efw. Gemäß dieser Einstellung
müsste alles geblockt sein. Ein Ping vom externen Server aus geht auch nicht, das ist aber eh standard.

Um diese Einstellung zu testen habe ich nun vom externen Server aus versucht eine Telnet-Session auf einen Mailserver hinter der efw / IF Green aufzubauen.
Und siehe da: Kein Problem. Die Systemregeln scheinen also nicht zu greifen, wenn ein Portforwarding in irgendeiner Form eingetragen ist.
Hier ein Screenshot aus dem Log:

Und das ist auch mein ganzen Problem, an dem ich hier knabbere....

Gruß

Uziel

Hallo BossBort,

nein, auf die efw selber kann nicht zugegriffen werden, zumindest nicht auf die von der efw bereitgestellten Konfigurationsmöglichkeiten (Web, SSH).
Das ist also in Ordnung.

Ich skizziere mal, damit es deutlicher wird:

0.0.0.0
|
efw
/ | \
srv1 srv2 srv3

Sämtliche Server (srvX) hängen am grünen IF der efw. Die efw verwaltet einen ganzen Schwung öffentlicher IPs und je nach angefragter IP und / oder Service
leitet die efw dann die Anfrage per NAT auf den entsprechenden Server weiter.

Beispiel: Webseitenaufruf der URL http://example.com landet auf der efw. Die efw leitet dann entsprechend der IP von example.com und dem Service (http) auf den Port 80 vom srv2 weiter, wo der zuständige Apache für example.com werkelt.

So weit, so gut. Funktioniert ohne Probleme.

Jetzt möchte ich folgendes erreichen:
Sollte die Anfrage nach http://example.com aus dem Subnet 213.230.0.0/19 kommen, soll die efw nicht auf den Port 80 vom srv2 forwarden, sondern den
Request rejecten, droppen, was auch immer.

Hoffe, ich habs nicht zu wirr formuliert.

Besten Dank

Uziel

Hallo BossBort,

mein Satz war so gemeint, daß ich ausser der NAT und den Systemregeln keinen Punkt dort habe, der mir sinnig erscheint.
Sorry für die unklare Formulierung.

Die Systemregel hatte ich auch schon für die Umsetzung ausgemacht. Ein Test mit einer externen IP eines anderen Servers ergab aber keine
positives Ergebnis.

Ich hänge mal einen Screenshot der gemachten Einstellung an. Trotz Eintrag der IP, egal ob einzelne IP oder als "Netzwerk" mit /32 unter Ablehnung sämtlicher Dienste kann ich ohne Probleme von der "geblockten" IP auf alle Server, bzw. hinter der efw zugreifen. Sämtliche Server und Dienste befinden sich am IF Green und nicht in der DMZ.

Gruß

Uziel

Hallo BossBort,

das Umsetzen der Ranges in Subnetze, bzw. das bestimmen der Masken, ist nicht das Problem.
Im Gegenteil, die habe ich sogar. Nur wie kann ich die Sperren?

Unter dem Punkt Firewall habe ich ja lediglich die NAT-Option. Die bringt mich nicht weiter.
Eine Systemregel beschränkt ja lediglich den Zugriff auf die efw selber.

Also wo und wie müsste ich denn diese Einstellung vornehmen?
Es handelt sich um die efw 2.2.rc3.

Besten Dank für Deine Hilfe.

Gruß

Uziel

Hallo Zusammen,

ich habe jetzt nur einiges auf den Kopf gestellt und Foren durchsucht.

Leider habe ich aber keine Lösung für folgendes Szenario gefunden:
Ich möchte eine gewisse IP-Range in der Efw für den Zugriff auf alle Interfaces sperren.
Sprich: Kommt eine Anfrage am roten IF der Endian an und stammt aus einer bestimmten IP-Range, so
soll dieser Zugriff geblockt werden und keine Weiterleitung an irgendein anderes IF erfolgen.

Also eigentlich eine Standardaufgabe einer Firewall. Nur irgendwie finde ich keine Einstellung dafür.

Kann mir jemand einen Tipp geben, wo ich noch suchen könnte, um dieses Problem zu lösen?

Vielen Dank

Uziel