Hi,
ich hab eine LastRule eingefügt:
grp-internal-network > internet > any > reject
Damit interne Requests Richtung Internet Rejected werden anstatt gedropped. Wenn Programme auf nicht erlaubte Ports / IPs zugreifen, dann möchte ich das die Firewall ein verbot ausspricht, anstatt das diese Programme in einen Timeout laufen.
Die Firewall zeigt im Log Reject (Gelb) an, jedoch scheint sie kein ICMP Reject rauszuschicken, denn die Programme timeouten immernoch.
Einfacher Test mit Telnet auf einen gesperrten Port ergibt eine Wartezeit von ca. 10 Sekunden bevor er meldet das die Verbindung nicht möglich ist. Normalerweise bricht Telnet immer sofort ab, wenn ein Port geschlossen ist (ICMP port unreachable)
Wodran liegts?
REJECT verhält sich wie DROP
Moderator: Securepoint
REJECT verhält sich wie DROP
Zuletzt geändert von its-lange am Do 18.03.2010, 08:38, insgesamt 1-mal geändert.
Die Firewall verschickt auf eine REJECT-Regel definitiv ein icmp-port unreachable. Tests haben gezeigt, dass das den Windows-Telnet-Client überhaupt nicht beeindruckt. Desweiteren kann es auch sein, dass dieses Paket von einer Firewall gedroppt wird (die 2007er zb verwerfen diese Pakete).
Schauen Sie am besten auf dem client mit Wireshark, ob das icmp-Paket dort auch wirklich ankommt.
Schauen Sie am besten auf dem client mit Wireshark, ob das icmp-Paket dort auch wirklich ankommt.