Firewall - Regelwerk

[PHA]

Hallo zusammen, ich befasse mich gerade mit unserer Firewall und den hinterlegten Regeln.

Hier gibt es ein Regelwerk welches den Zugriff von LAN ins LAN definiert.

Eine Regel sagt: LAN darf zu LAN über jeden Port / Dienst, also quasi LAN > LAN = ANY

Jetzt gibt es noch weitere Regeln, die den Zugriff von LAN > LAN definieren.

 

Meines Erachtens nach sind alle weiteren Regeln doch eher sinnlos und überflüssig, wenn mit der ersten Regel alles erlaubt wird?

[Gast Exception]

Hallo,

Zitat

Hier gibt es ein Regelwerk welches den Zugriff von LAN ins LAN definiert.

Du meinst zwei Interfaces LAN1 zu LAN2?

Zitat

Meines Erachtens nach sind alle weiteren Regeln doch eher sinnlos und überflüssig, wenn mit der ersten Regel alles erlaubt wird?

Grundsätzlich greift immer die erste passende Regel. In diesem Fall die Any Any Regel, wenn diese an erster Position steht. 

Viele Grüße

Bearbeitet 5. September 2019 von Exception

[PHA]

Nee stimmt - es gibt nur ein Interface: LAN und hieran hängt das lokale Netzwerk. Also macht das ganze Regelwerk keinen Sinn jaa.

Die Regel steht zwar nicht an erste Stelle, wird dann aber in letzter Instanz immer die passende Regel sein...

 

Ich deaktiviere das Regelwerk mal und schaue was passiert. Erscheint mir schwachsinnig.

[Gast Exception]

Zitat

Also macht das ganze Regelwerk keinen Sinn jaa.

Nicht unbedingt z.B. Desktop Firewall. Hab das oben selber kurzfristig wieder entfernt. Bin von einer "richtigen" Firewall ausgegangen.  ?

Zitat

Die Regel steht zwar nicht an erste Stelle, wird dann aber in letzter Instanz immer die passende Regel sein...

Dann scheint es keine passende Regel dafür zu geben. Welchen Dienst möchtest du freigeben? Und wie lautet das Regelwerk?

Zitat

Ich deaktiviere das Regelwerk mal und schaue was passiert.

Richtig. Deaktiviere die Regel und schaue im Log rein, was nun blockiert wird und dann eine entsprechende Regel erstellen.

[Eye-Q]

Leider sind die Beschreibungen, die Du hier gibst, recht dürftig, deswegen ist das von unserer Seite aus eher ein Raten in den blauen Dunst hinein...

Was meinst Du in diesem Fall mit "Firewall"? Ein Gerät, welches u.A. als Standardgateway für Rechner und Server fungiert oder eine Software-Firewall auf Rechner und/oder Server? Des weiteren: gibt es im LAN mehrere Subnetze, z.B. ein Subnetz für Server und eins für Clients, und die Firewall hängt dazwischen, oder ist auf beiden Seiten der Regel "LAN > LAN = ANY" das selbe Subnetz? Bevor diese Fragen nicht geklärt sind, bringt es eher wenig, zu spekulieren, was Du denn mit den Begriffen wirklich meinst.

Bearbeitet 6. September 2019 von Eye-Q

[Crash2001]

Vor allem wäre die Frage, ob es nicht eventuell ein mehrstufiges Firewalldesign ist, bei der der LAN-Traffic in einer bestimmten Zone einfach nicht gefiltert wird, sobald er jedoch z.B. zu Projekt- oder Servernetzen geht, durchaus gefiltert wird. Ein generelles "Macht keinen Sinn" kann man mit den gegebenen Informationen jedenfalls weder bestätigen, noch nicht bestätigen.