Firewall Regeln und die Reihnfolge

Naider · Beitrag von **Naider** » Fr 13.06.2014, 15:45

Folgende Szenario:

wir haben mehre Teilnehmer in dem internen Netz und möchten zunächst den kompletten ankommenden Verkehr von außen sperren. Als nächstes sollen einzelne Ports für einige IPs in dem Internen Netz von außen erreichbar gemacht werden. Darüber hinaus sollen die internen Teilnehmer über alle Ports mit dem Internet interagieren können.

Ist folgende Regelsatz dafür geeignet bzw. richtig?

internal-network - internet - any ACCEPT
internet - internat-network - any DROP
internet - server1 - portgruppe1 ACCEPT
externe-gruppe-2 - server2 - ssh ACCEPT

Danke und viele Grüße

Beitrag von **Erik** » Fr 13.06.2014, 18:39

Die zweite Regel ist unnötig, in der 3ten und 4ten Regel fehlt das DESTNAT. Wir haben zu dem Thema einen Artikel im Wiki.

Naider · Beitrag von **Naider** » Sa 14.06.2014, 21:08

Danke für die Info.
Das heiß also, das per se alle Ports zwischen den beiden Schnittstellen erst einmal geschlossen sind, richtig?
In unserem Fall handelt es sich bei der internen Netzwerk um eine öffentliche Netz, welches von unserem ISP auf eine Transfernetz geroutet wird, welches an den externen Schnittstelle anliegt. Diese Aufbau hatten sie uns freundlicherweise vor einige Wochen in eine andere Forumseintrag empfohlen. Da es sich bei beiden Netzen um öffentlichen Netzen handelt, sollte NAT nach ihre Meinung nicht erforderlich sein.
Siehe Hier: http://support.securepoint.de/viewtopic.php?f=16&t=5801

Müssen wir in diese Konstellatino ebenfalls die Option 'DESTNAT' für die Regeln aktivieren?

Vielen Dank vorab für ihre Hilfe

Beitrag von **Erik** » Mo 16.06.2014, 09:54

Alles, was Sie im Portfilter nicht explizit freigeben, wird von der Firewall automagisch verworfen.

Wenn Sie intern ein geroutetes Netz verwenden, ist ein DESTNAT ebenfalls nicht nötig und Ihre Regeln sind somit in Ordnung.