Gast kolaj Geschrieben 27. Oktober 2009 Teilen Geschrieben 27. Oktober 2009 Moin. Folgende Ausgangssituation: LAN A besteht aus: PC A: IP: 192.168.80.111 Subnetzmaske: 255.255.255.0 Gateway: 192.168.80.121 Router A: Hersteller: Funkwerk Modell: BinTec R1200 Firmware: 7.8. Rev. 7 (aktuelle vom 25.08.09) IP Port 2: 192.168.80.121 > Verbindung zu PC A IP Port 3: 192.168.60.2 > Verbindung zu Router B Bedienungsanleitung: http://www.funkwerk-ec.com/portal/downloadcenter/dateien/r1200/doku/manual_v71_de/rxxxx_manual_FCI_v71_de.PDF LAN B besteht aus: PC B: IP: 192.168.21.11 Subnetzmaske: 255.255.255.0 Gateway: 192.168.21.111 Router B: Hersteller: Funkwerk Modell: BinTec R1200 Firmware: 7.8. Rev. 7 (aktuelle vom 25.08.09) IP Port 2: 192.168.21.111 > Verbindung zu PC B IP Port 3: 192.168.60.1 > Verbindung zu Router A Bedienungsanleitung: http://www.funkwerk-ec.com/portal/downloadcenter/dateien/r1200/doku/manual_v71_de/rxxxx_manual_FCI_v71_de.PDF Alle Verbindungen sind FastEthernet mittels Twisted-Pair-Leitungen. Das Routing funktioniert einwandfrei. PC A und PC B können sich jeweils problemlos „anpingen“. Nun zum Problem: Es soll die interne SIF (Stateful Inspection Firewall) genutzt werden um die Kommunikation auf ICMP und TCP/UDP Port 8001 bis 8004 sowie TCP/UDP Port 40001 – 40002 zu beschränken. Außerdem darf diese Kommunikation nur zwischen PC A (bzw. dessen IP) und PC B (bzw. dessen IP) und andersherum stattfinden. Alle anderen IPs sollen vollständig geblockt werden. Momentan habe ich die Möglichkeit beide Router sowohl über Telnet- als auch über deren eigene Weboberfläche zu konfigurieren. Einfachheitshalber habe ich bis jetzt über die grafische Weboberfläche konfiguriert, da ich kaum Konfigurationsbefehle für die BinTec-Geräte kenne. Die Firewall-Einstellungen gliedern sich in drei relevante Unterpunkte: - Richtlinien - Adressen - Dienste Bei „Richtlinien“ werden die einzelnen Regeln festgelegt, welche Quell-Adressen mit welchen Ziel-Adressen über welche Dienste (& Ports bei TCP/UDP) kommunizieren dürfen. Zu diesem Zweck werden vorher im Unterpunkt „Adressen“ alle für die Kommunikation benötigten Adressen eingetragen. Außerdem werden im Unterpunkt „Dienste“ die relevanten Dienste (& Ports bei TCP/UDP) erstellt. Meine momentane Konfiguration (von unten nach oben): Dienste: ICMP (jegliche Typen, siehe Internet Control Message Protocol ? Wikipedia ) TCP/UDP (Port 8001 bis 8004) TCP/UDP (Port 40001 bis 40002) Adressen: 192.168.21.11 / 255.255.255.0 192.168.80.111 / 255.255.255.0 Richtlinien: Quelle Ziel Dienst Aktion 192.168.21.11 192.168.80.111 ICMP Zugriff 192.168.21.11 192.168.80.111 TCP/UDP (P. 8001-8004) Zugriff 192.168.21.11 192.168.80.111 TCP/UDP (P. 40001-40002) Zugriff 192.168.80.111 192.168.21.11 ICMP Zugriff 192.168.80.111 192.168.21.11 TCP/UDP (P. 8001-8004) Zugriff 192.168.80.111 192.168.21.11 TCP/UDP (P. 40001-40002) Zugriff Alle Quell- und Ziel-Adressen haben die Subnetzmaske 255.255.255.0 Laut der Bedienungsanleitung des Routers sind alle nicht explizit zugelassenen Verbindungen grundsätzlich gesperrt. Somit dürfte es nicht nötig sein alle sonstigen Dienste bzw. Ports über alle sonstigen IPs manuell als blockiert einzutragen. Wenn ich die Firewall nun mit der beschriebenen Konfiguration einschalte, ist kein Ping mehr zwischen PC A und PC B (und andersherum) möglich. Aber: bei folgender Konfiguration gelingt der Ping-Test: Quelle Ziel Dienst Aktion F/E 2 F/E 3 ICMP Zugriff F/E 2 F/E 3 TCP/UDP (P. 8001-8004) Zugriff F/E 2 F/E 3 TCP/UDP (P. 40001-40002) Zugriff F/E 3 F/E 2 ICMP Zugriff F/E 3 F/E 2 TCP/UDP (P. 8001-8004) Zugriff F/E 3 F/E 2 TCP/UDP (P. 40001-40002) Zugriff Allerdings stellt letztere Konfiguration ja ein Sicherheitsrisiko dar, weil so jegliche Quell- und Ziel-IPs über die genannten aufgeführten Ports (+ ICMP) kommunizieren dürfen. Habt ihr eine Idee wo die Ursache dafür liegen kann, dass bei der Angabe der konkreten Adressen die Firewall den Ping blockt? Sorry für die unübersichtlichen Richtlinien - der Editor hier kennt leider weder Tabs noch mehrmalige Blanks. Ich habe das Ganze auch noch als Word-Dokument angehängt - dort stimmt die Formatierung inkl. Tabs. Vielen Dank im Voraus! Gruß, KoljaFunkwerk BinTec R1200 Firewall-Problem.doc Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Fl0 Geschrieben 17. Mai 2011 Teilen Geschrieben 17. Mai 2011 (bearbeitet) *Totengräbermode On* Ich möchte das Problem nicht ungelöst stehen lassen, da der ein oder andere vielleicht in diesem Thread landet. Deine Alias-Adressen stimmen nicht: Adressen: 192.168.21.11 / 255.255.255.0 192.168.80.111 / 255.255.255.0 In deiner Quell- und Zieladresse stehen Subnetze, 192.168.21.11 ist also nicht PC A, sondern die Netzadresse von deinem falsch definierten Subnetz 192.168.21.11/24. Du musst die Subnetzmaske auf 255.255.255.255 stellen, damit du deine einzelnen PCs filtern kannst. Grüße *Totengräbermode Off* Bearbeitet 17. Mai 2011 von Fl0 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.