Regeln für VPN, alles verbieten, nur einiges erlaubt

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Regeln für VPN, alles verbieten, nur einiges erlaubt

Beitrag von Patrick Fischer »

Wieso funktioniert das nicht? Ich bilde mir ein, dass ich es bei der V10 genauso hatte. Erst dem VPN Netzwerk alles verbieten und dann nur das freischalten, was erlaubt sein soll.

ssl-vpn-network
internal-network
any
DROP oder REJECT

ssl-vpn-network
SXTS01 (Terminalserver)
ms-rdp
ACCEPT

Es kommt keine Verbindung zustande. Wenn ich die obere Regel von DROP auf ACCEPT setze geht alles.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Es (war) ist genau andersrum: Erst das Spezielle erlauben, dann das Allgemeinere verbieten.

Patrick Fischer
Beiträge: 51
Registriert: So 06.12.2009, 00:49

Beitrag von Patrick Fischer »

Oh. Ich dachte immer erst deny all und dann aufmachen was man möchte. Ist doch auch logischer oder? Erst verbieten, dann erlauben. Auf jeden Fall gehts.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ne. Die letzte "unsichtbare" Regel ist ja bereits ein DROP.
Will meinen: Wenn Sie irgendwas nicht explizit freigeben, wird es sowieso verworfen.
In Ihrem Beispiel würden Sie also ausschließlich die ALLOW-Regel für den Terminal-Server benötigen.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Patrick Fischer hat geschrieben: Soll heißen, dass zwischen zwei Netzwerken automatisch immer alles verworfen wird? Hier: tun0 und den restlichen.
Sie beziehen sich doch auf diesen Fred hoffe ich...

Und genau so verhält es sich. Was sie nicht mittels Firewall-Regel oder Implied Rule freigeben, wird automagisch verworfen.

sschuran
Beiträge: 11
Registriert: Do 25.07.2013, 13:18

Beitrag von sschuran »

Hallo,

ich habe gerade das Problem, das nach Einrichtung des VPNs, alles durch das VPN erlaubt ist. Getestet mit einem rdp port 3389 Zugriff.
Soll das so sein oder wo habe ich den Denkfehler? Konnte keine Stelle finden die den Zugriff erlaubt.

Sven

sschuran
Beiträge: 11
Registriert: Do 25.07.2013, 13:18

Beitrag von sschuran »

Moin,

gefunden, aber sehr versteckt in den implizieten Regeln.
Leider passt die Dokumentation nicht so ganz zur Oberfläche.
Aus der Oberfläche geht leider nicht so ganz hervor wofür der Button/Haken ist. Besser wäre es die Funktion direkt an die VPN Verbindung zu knüpfen. Dann kann ich pro VPN Verbindung entscheiden.

Sven

Antworten