Edge-Router Firewall "local out"-Regeln

Es gibt 5 Antworten in diesem Thema, welches 615 mal aufgerufen wurde. Der letzte Beitrag () ist von itvnb.

  • hallo community,

    ich habe mal eine frage zu den firewall-regeln (und regelsätzen) bei einem edge-router (in diesem fall ein er-12). nach dem der router jetzt in den produktiv-einsatz überführt werden soll, möchte ich noch alle netze trennen (was grundsätzlich auch funktioniert) und den zugriff richtung wan einschränken, wobei es bei mir grundsätzlich mit dem whitelist-prinzip realisiert wird, drop-policy und nur erlauben, was benötigt wird.


    das einrichten der regelsätze für den gerouteten traffic (IN und OUT) funktioniert auch bei der wan-schnittstelle problemlos, nur sobald ich den LOCAL-regelsatz erstelle und an die wan-schnittstelle binde, ist keinerlei traffic vom router direkt richtung wan möglich, gemeint sind hier vor allem die lokale namensauflösung, ein- wie ausgehender ping und ausgehende vpn-verbindungen. entsprechende regeln für ping, dns oder openvpn mit state = new habe ich eingerichtet, das scheint ihn aber nicht wirklich zu interessieren.


    habe ich hier irgendwas übersehen oder schlimmstenfalls falsch verstanden?


    danke und gruß

    Nils

  • Local ist nunmal für Verbindungen von oder zu dem Router direkt.

    [...]

    so war auch mein verständnis...


    [...]

    aber ohne Einsicht in die Regeln kann ist das aber schwer zu beurteilen..


    das sind die drei regeln, die ping, openvpn und dns erlauben sollten (das waren auch die einzigen regeln in diesem regelsatz):

  • Deine Statfuel Statements schauen nicht ganz korrekt aus.

    nehmen wir die ICMP Regel:


    Code
     established disable
     invalid disable
     new enable
     related disable

    NEUE Dürfen, bestehende oder in Beziehung stehende nicht. Wie darf dann eine Antwort zurück ?

    (grade weil Defualt ja Drop ist) Ohne Allow established, related hier oder an andere stelle wird es

    eng denke ich (hab keinen edge hier zum testen)

  • itvnb

    Hat das Label von offen auf erledigt geändert.