Seite 1 von 1

Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Do 03.01.2013, 10:42
von Patrick Fischer
Wieso funktioniert das nicht? Ich bilde mir ein, dass ich es bei der V10 genauso hatte. Erst dem VPN Netzwerk alles verbieten und dann nur das freischalten, was erlaubt sein soll.

ssl-vpn-network
internal-network
any
DROP oder REJECT

ssl-vpn-network
SXTS01 (Terminalserver)
ms-rdp
ACCEPT

Es kommt keine Verbindung zustande. Wenn ich die obere Regel von DROP auf ACCEPT setze geht alles.

Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Do 03.01.2013, 11:33
von Erik
Es (war) ist genau andersrum: Erst das Spezielle erlauben, dann das Allgemeinere verbieten.

Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Do 03.01.2013, 13:22
von Patrick Fischer
Oh. Ich dachte immer erst deny all und dann aufmachen was man möchte. Ist doch auch logischer oder? Erst verbieten, dann erlauben. Auf jeden Fall gehts.

Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Do 03.01.2013, 22:27
von Erik
Ne. Die letzte "unsichtbare" Regel ist ja bereits ein DROP.
Will meinen: Wenn Sie irgendwas nicht explizit freigeben, wird es sowieso verworfen.
In Ihrem Beispiel würden Sie also ausschließlich die ALLOW-Regel für den Terminal-Server benötigen.

Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Fr 04.01.2013, 11:14
von Erik
Patrick Fischer hat geschrieben: Soll heißen, dass zwischen zwei Netzwerken automatisch immer alles verworfen wird? Hier: tun0 und den restlichen.
Sie beziehen sich doch auf diesen Fred hoffe ich...

Und genau so verhält es sich. Was sie nicht mittels Firewall-Regel oder Implied Rule freigeben, wird automagisch verworfen.

Re: Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Do 08.08.2013, 18:15
von sschuran
Hallo,

ich habe gerade das Problem, das nach Einrichtung des VPNs, alles durch das VPN erlaubt ist. Getestet mit einem rdp port 3389 Zugriff.
Soll das so sein oder wo habe ich den Denkfehler? Konnte keine Stelle finden die den Zugriff erlaubt.

Sven

Re: Regeln für VPN, alles verbieten, nur einiges erlaubt

Verfasst: Do 08.08.2013, 18:30
von sschuran
Moin,

gefunden, aber sehr versteckt in den implizieten Regeln.
Leider passt die Dokumentation nicht so ganz zur Oberfläche.
Aus der Oberfläche geht leider nicht so ganz hervor wofür der Button/Haken ist. Besser wäre es die Funktion direkt an die VPN Verbindung zu knüpfen. Dann kann ich pro VPN Verbindung entscheiden.

Sven