Law28 Geschrieben 5. März 2018 Geschrieben 5. März 2018 Hallo, kann jemand erklären was das IN bei Richtung bedeutet? Zitieren
larrud Geschrieben 5. März 2018 Geschrieben 5. März 2018 Also ganz spontan würde ich jetzt mal auf IN, OUT, ANY tippen... Sprich rein, raus, beides... Zitieren
Maniska Geschrieben 6. März 2018 Geschrieben 6. März 2018 "IN" ist rein, also aus dem Internet IN dein Netz, "OUT" ist logischerweise von drinnen raus und "ANY" ist bidirektional. larrud reagierte darauf 1 Zitieren
EvenMoreDave Geschrieben 13. März 2018 Geschrieben 13. März 2018 Nicht unbedingt. Eher IN die Firewall und AUS der Firewall heraus. Zitieren
RipperFox Geschrieben 13. März 2018 Geschrieben 13. März 2018 Korrekt. Üblicherweise bezieht sich auf das angegebene Interface - siehe z.B. Mailserver Verbindung aus DMZ über DMZ Interface. Zu FWs im echten Leben: Bitte macht es anderen Admins leichter und blockiert nicht einfach ICMP mittels "drop", sondern rejectet mit icmp-net-prohibited, etc. Und nutzt das aktuelle IPv6, nicht dieses altbackene Legacy Protokoll Zitieren
HannesB Geschrieben 25. November 2018 Geschrieben 25. November 2018 Es handelt sich hierbei um eine SPI Firewall diese arbeitet statusorientiert das heisst eine Regel für ein und ausgehende Verbindungen. Hingegen einer Paketfilter Firewall hier muss man für eingehende und ausgehende regeln eine Regel deffinieren Zitieren
Crash2001 Geschrieben 26. November 2018 Geschrieben 26. November 2018 @RipperFox Also als Netzwerker kann ich nur dazu raten, ICMP innerhalb des Netzes komplett zuzulassen, denn beim Debugging hilft das ungemein. Zitieren
RipperFox Geschrieben 27. November 2018 Geschrieben 27. November 2018 (bearbeitet) @Crash2001 Naja, z.B. ICMP Redirect abzulehnen mag sinnvoll sein, bin aber sonst voll Deiner Meinung. Wenn man via ICMP "Net-Prohibited" o.ä. zurückbekommt weiss man, dass da gewollt was geblockt wird.. Bearbeitet 27. November 2018 von RipperFox Zitieren
Crash2001 Geschrieben 27. November 2018 Geschrieben 27. November 2018 Dann weiß man zwar, dass es auf der Firewall geblockt wird (und das Paket somit schon einmal bis dort hin kommt) - das heißt aber ja noch lange nicht, dass das Gateway von dem Netz erreichbar ist, oder aber der Client selber. Von daher sollte man zumindest ICMP Ping und ICMP Traceroute freischalten. Falls Unix/Linux Systeme im Einsatz sind sollte zusätzlich auch UDP Traceroute freigeschaltet sein, da Linux Traceroutes per UDP schickt statt per ICMP (wie Windows z.B.). Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.