Guten Tag,
ich habe 4 Subnetze in einer Firewallzone:
192.168.241.0/24
192.168.242.0/24
192.168.243.0/24
192.168.244.0/24
Die Firewall hat jeweils im netz die IP 192.168.24X.254 und dient als Gateway/Proxy für Internetzugriff.
Kann ich der Firewall nun sagen sie soll nicht zwischen den Subnetzen routen?
Viele Grüße
Mathias Möller
Firewallzone mit 4 Subnetzten - Routing verbieten
Moderator: Securepoint
Nein das können Sie nicht, denn ohne Regeln, die den Zugriff expliziet zulassen, wird standardmäßig nichts durchgelassen.
Sie brauchen nur Regeln wenn Sie etwas zulassen wollen!
Sie brauchen nur Regeln wenn Sie etwas zulassen wollen!
There are 10 types of people in the world... those who understand binary and those who don\'t.
Natürlich. Einfach, indem Sie keine Firewall-Regeln dafür erstellen.
Funktioniert natürlich nur, solange Client A keine Möglichkeit hat, sich selber in Netz B zu befördern
Sollen auch Web-Zugriffe (über den Proxy) gesperrt werden, müssen Sie im Template der /etc/dansguardian/dansguardian.conf die Option "forwardedfor" auf "on" setzen und danach ACLs/Regeln in der /etc/squid/squid.conf einfügen:
Funktioniert natürlich nur, solange Client A keine Möglichkeit hat, sich selber in Netz B zu befördern
Sollen auch Web-Zugriffe (über den Proxy) gesperrt werden, müssen Sie im Template der /etc/dansguardian/dansguardian.conf die Option "forwardedfor" auf "on" setzen und danach ACLs/Regeln in der /etc/squid/squid.conf einfügen:
Code: Alles auswählen
acl netz241src src 192.168.241.0/24
acl netz242src src 192.168.242.0/24
acl netz243src src 192.168.243.0/24
acl netz244src src 192.168.244.0/24
acl netz241dst dst 192.168.241.0/24
acl netz242dst dst 192.168.242.0/24
acl netz243dst dst 192.168.243.0/24
acl netz244dst dst 192.168.244.0/24
http_access deny netz241src netz242dst
http_access deny netz241src netz243dst
http_access deny netz241src netz244dst
http_access deny netz242src netz241dst
http_access deny netz242src netz243dst
http_access deny netz242src netz244dst
http_access deny netz243src netz242dst
http_access deny netz243src netz241dst
http_access deny netz243src netz244dst
http_access deny netz244src netz242dst
http_access deny netz244src netz243dst
http_access deny netz244src netz241dst
Der PC im Netz 241 kann aber PC im Netz 242 pingen. Ich nehme an, dass die Firewall dies macht weil sich die Netze in der selben Zone befinden.
Oder ich habe grade einen Denkfehler? Theoretisch dürfte Subnetz 1 doch nicht in Subnetz 2 pingen können. Ausser der eingetragene Gateway übernimmt diese Arbeit und routet herum.
Oder ich habe grade einen Denkfehler? Theoretisch dürfte Subnetz 1 doch nicht in Subnetz 2 pingen können. Ausser der eingetragene Gateway übernimmt diese Arbeit und routet herum.
Ich behaupte einfach mal kühn, dass da eine Firewall-Regel existiert. Captain Capslock inc: DAS HAT NIX MIT DEN ROUTING-EINSTELLUNGEN DER FIREWALL ZU TUN.
Zuletzt geändert von Erik am Mo 14.11.2011, 12:07, insgesamt 1-mal geändert.
Hi,
das mit dem Proxy hab ich einfach mal pauschal gemacht:
acl ips_dst_intern dst 192.168.0.0/255.255.0.0
http_access deny ips_dst_intern
und vorher nur per allow den zugriff auf den Webserver zugelassen. Funktioniert schon eine ganze Zeit ganz gut. Aber danke für den Ratschlag.
Ich habe jetzt extra nochmal nach rules gesucht die explizit das pingen in die anderen Subnetze erlauben. Bis jetzt bin ich nicht fündig geworden.
Enweder handelt es sich dabei um eine Fehlkonfiguration meiner seits oder um einen Bug.
Ich versuche mich mal an das Problem heranzutasten und melde mich dann wieder wenn ich mehr weiß.
das mit dem Proxy hab ich einfach mal pauschal gemacht:
acl ips_dst_intern dst 192.168.0.0/255.255.0.0
http_access deny ips_dst_intern
und vorher nur per allow den zugriff auf den Webserver zugelassen. Funktioniert schon eine ganze Zeit ganz gut. Aber danke für den Ratschlag.
Ich habe jetzt extra nochmal nach rules gesucht die explizit das pingen in die anderen Subnetze erlauben. Bis jetzt bin ich nicht fündig geworden.
Enweder handelt es sich dabei um eine Fehlkonfiguration meiner seits oder um einen Bug.
Ich versuche mich mal an das Problem heranzutasten und melde mich dann wieder wenn ich mehr weiß.
Loggen Sie sich mal bitte als "root" auf der Konsole ein und schicken mir den Output des Befehls
an support@securepoint.de.
Code: Alles auswählen
# iptables -t filter -nvL FORWARD --line-numbersHallo,
ich konnte es bis jetzt nicht mehr nachvollziehen. also gehe ich davon aus das ich mich geirrt habe. Vermutlich weil mir irgendwann mal aufgefallen ist:
Eine Netzwerkgruppe mit den vier Netzen darf auf den Proxy der Firewall IPs der vier Netzt. Da ist dann ja auch erlaubt das Pc aus Netz 4 auf Proxy von Firewall IP im Netz 1 darf.
Is ja auch logisch.
Ich entschuldige mich für die entstandenen Umstände.
Viele Grüße
Mathias Möller
ich konnte es bis jetzt nicht mehr nachvollziehen. also gehe ich davon aus das ich mich geirrt habe. Vermutlich weil mir irgendwann mal aufgefallen ist:
Eine Netzwerkgruppe mit den vier Netzen darf auf den Proxy der Firewall IPs der vier Netzt. Da ist dann ja auch erlaubt das Pc aus Netz 4 auf Proxy von Firewall IP im Netz 1 darf.
Is ja auch logisch.
Ich entschuldige mich für die entstandenen Umstände.
Viele Grüße
Mathias Möller