[Build 10.6.3] Neue Regel im Portfilter

Moderator: Securepoint

Gesperrt
fct
Beiträge: 21
Registriert: Fr 23.01.2009, 17:19

[Build 10.6.3] Neue Regel im Portfilter

Beitrag von fct »

Hallo zusammen,

wir haben einen Rechner in einer DMZ stehen. Diese sieht folgendermaßen aus:

eth2 dmz1, firewall-dmz1 10.0.0.1/24

Des Weiteren haben wir ein externes Netz, in dem wir ausschließlich eine Verbindung zu unserem Router/Kabel Modem für das Internet konfiguriert haben. Dort ist der Port der Firewall als DMZ eingerichtet, so, dass alle Verbindungen einfach direkt geforwardet werden. Dieses Netz:

eth0 external 192.168.0.1/24

Es besteht bereits eine Konfiguration im Portfilter, die folgendes macht:

Internet (eth0) - DMZ (eth2) - HTTP (Service Group) - ACCEPT

Diese funktioniert, und wenn ich sie auf "REJECT" setze, ist der Port nicht erreichbar, also wie erwartet.
Bei "HTTP" handelt es sich um eine Service Group, die den Service "http" enthält (any source, local port 80).
Ich lege einen zusätzlichen Service an, der die exakt gleichen Daten hat, allerdings "http-alt" heißt, und auf Port 81 läuft (dieser Port wird nicht anderweitig verwendet).
Ich füge den Service zur Service Group "HTTP" hinzu, da er auf genau den gleichen Anwendungsfall passt, wie die bereits bestehende Konfiguration von "HTTP".
Ich update die Regeln, usw.
Port 81 bleibt unerreichbar, obwohl die Konfiguration exakt gleich ist. Woran kann das liegen?

fct
Beiträge: 21
Registriert: Fr 23.01.2009, 17:19

Beitrag von fct »

Nach einem Update auf 10.6.5 funktionierte die komplette Verbindung ins Internet nicht mehr.
Nach einigem Suchen in der Config fanden wir eine konfigurierte Route einer früheren Konfiguration, die bisher, wegen ihres Weightings, nicht berücksichtigt wurde und deshalb still und heimlich im System schlummerte.
Offensichtlich wurde diese Route aus irgend einem Grund aktiv, allerdings nur für die neu erstellte Regel im Portfilter. Die alten Regeln behielten die korrekte Route.
Nach dem Neustart zogen alle Regeln die falsche, alte Route an, worauf hin nichts mehr ging.

Lösung:
Route gelöscht, Interfaces upgedated, alles läuft wieder und die neue Regel im Portfilter gleich mit dazu.

Die Frage bleibt, wie ein solches "Mischverhalten" überhaupt entstehen konnte.

Gesperrt