Firewall Regel funktioniert nicht

Es gibt 6 Antworten in diesem Thema, welches 2.419 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Hallo,


    ich habe die Frage zwar schon wo anders platziert, jedoch denke ich, dass es ein separates Thema ist.


    Ich möchte den Zugriff auf eine bestimmte IP- Adresse nur von bestimmten IP- Adressen zulassen.

    Hierzu habe ich folgende Port & IP-Gruppen erstellt:

    - HN-Home (Hauptnetzt) 192.168.1.0/24

    - NAS (Im Hauptnetz 192.168.1.20)


    Nun erstelle ich eine Regel:

    LAN in

    DROP

    IPv4 All

    Source HN-Home

    Destination NAS


    Diese Regel platziere ich im LAN ganz oben; somit die erste Regel.

    Dennoch kann jeder auf die NAS zugreifen.

    (Zugriff von bestimmten IP kommt dann im 2. Step; erst einmal sollte die Regel ja greifen und keiner auf die NAS zugreifen können, damit sichergestellt ist, das die FW von der USG auch greift, was ich momentan bezweifle)


    Habe die USG schon neu gestartet; Zugriff nach wie vor möglich.


    Hab ich da einen Denkfehler oder ist bei mir etwas falsch eingestellt, damit diese Regel "ausgehebelt" wird.
    PS: Bin in Sachen Firewall- Regel erst am Start, habe aber einige Beispiele schon versucht, und nichts funktioniert irgendwie so, wie es in den Beispielen angegeben ist und die oben erwähnte Regel ist doch eigentlich nicht gerade schwer.


    Gruß

    Falke07

    Hehe, network 101 Kurs und Grundlagen aneignen ist die böse Antwort.

    die liebe Antwort ist:


    Alles was im "192.168.1.0/24“ Netzwerk ist kann auch auf alles im 192.168.1.0/24 zugreifen.

    Dafür wird nicht ein bisschen dein Router (USG) bemüht. Die IP Pakete wandern direkt

    dahin. (ganz vereinfacht: Rechner fragt der Broadcast wer die IP mus local sein weil gleiches netz, NAS

    antwortet ich hier mit der MAC 1:2:3:4:5:6, Rechner macht Paket fertig und schickt es über Ethernet direkt

    an die MAC)



    Wenn du das über die USG steuern Wills, muss das NAS in ein eignes Netzwerk/Vlan mit einem eignen

    IP Kreis (z.b 192.168.2.0/24). Dann kannst du über die FW regeln bestimmen wer oder wa darauf zugreifen darf.

    Also als Lösung würde ich deine NAS in ein Server-VLAN verbannen mit einem anderen IP-Subnet.
    Dann müsste der Gatway arbeiten und erst dann kann er auch per Firewall blocken.

    Anders sieht es aus, wenn Du die Firewall auf deinem NAS nutzen möchtest... die kann immer Blocken, da sie aktiv an der Kommunikation beteiligt ist.

    Ahhhhh,


    Ok, ARP und ..... MAC und ....

    Gut, jetzt ist mir ein Licht aufgegangen.

    Logisch. Die USG kommt hier garnicht ins Spiel und kann somit auch nicht greifen.


    Bin froh, dass Du dir die böse Antwort im Detail verkniffen hast. ich bin ja am Einlernen nur manchmal stolpert man über die einfachsten Kieselsteine.


    THx

    Dein NAS hat bestimmt ne eigene Firewall - damit könnte das bestimmt funktionieren. (Bei Synology kann ich noch helfen beim rest bin ich raus -mangels fehlenden Geräten)

    Wenn du nicht mit VLANs etc anfangen willst

    Mein Projekt

    Zitat von bic

    So etwas macht man i.d.R. miitels der ACLs und nicht über die FW :frowning_face:

    Korrekt, so würde ich das auch machen bzw. habe ich es gemacht. So kann man auch viel einfach die einzelnen Rechte vergeben.