Firewall Rules in beide Richtungen gültig?

Es gibt 4 Antworten in diesem Thema, welches 691 mal aufgerufen wurde. Der letzte Beitrag () ist von Naichbindas.

    Moin wildmaster


    Ich versuche das mal zu erklären.

    Es kommt drauf an was du vor hast.

    Nehmen wir mal an du hast zwei verschiedene VLAN´s.

    Darin befindet sich jeweils ein PC.

    Die nennen wir mal PC-A und PC-B.

    Wenn PC-A etwas von PC-B will dann muss er bei PC.B anfragen.

    Was ja eigentlich nicht geht, bei einer guten Firewall ist ja erstmal alles dicht.

    Deswegen wird eine Firewallregel erstellt von PC-A in die Richtung PC-B.

    Dann fragt PC-A bei PC-B an und PC-B antwortet auf genau diesem Weg zurück.

    Die beiden unterhalten sich.

    Das ganz kann man auch zusätzlich durch Portregeln verfeinern.

    Möchte aber nun PC-B sich mit PC-A unterhalten, dann wiederum geht es nicht.

    Hier bedarf es einer weiteren Firewallregel in die andere Richtung.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Moin,


    IM Grunde genommen JA denn du definierst ja ein Regel mit Quelle / Ziel.

    Diese Regeln passt nicht für den Rückweg


    z.B darf sich 192.168.1.4:53431 (Port ist zufällig bei TCP) mit 10.1.3.4:80 (litt) Daten schicken

    aber zurück darf Port 80 noch lange nicht an Port 192.168.1.4:53431


    ABER: Meist ist der Rückweg Dynamisch mit Statefuel Firerwalling realisiert (was eigentlich alle

    können aber immer noch gerne als „der heiße schieß beworben wird)


    Grade weil bei z.B TCP der Source Port zufällig ist (kann von 1024 -65556)

    Das sind dann die Eintrage wo unten „Establish" und „Releatetd“ bei Advance aktiviert haben.

    Damit kann mann erreichen das die FW sich merk was wohin erlaubt wurde und dann

    den Rückweg auch Dynamisch erlaubt.


    Das ist im übrigen auch schon bei der Default nich länderbaren Default regeln fürs Internet

    Raus Darf alles und rein darf dann nur wo es auch ein Raus für gibt (was dann nur durch statische

    Portweiterleitungen aufgeweicht wird)

    Ok danke für die Erklärungen.

    Das erhöht dann quasi die Anzahl der Regeln mit jedem VLan.

    VLan 1 darf nicht mit 2 und 3 kommunizieren, 2 nicht mit 1 und 3, 3 nicht mit 1 und 2.

    Kommt jetzt VLan 4 dazu, was mit VLan 2, aber nicht mit 1 und 3 kommunizieren darf, dann wird’s langsam komplizier bzw. komplex. 😁

    wildmaster genauso ist das und noch komplexer wird es wenn du einzelne Geräte untereinander zulassen oder verbieten willst.

    Daher ist mit statischen IP Adressen zu arbeiten keine schlechte Idee und sich bei der Firewall mal mit dem Thema Gruppen auseinander zu setzen. Du solltest auch die Reihenfolge der Regln beachten.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue: