Hallo,
nur mal so für mein Verständnis:
Wenn ich (der Einfachheit halber als Beispiel) den Zugriff von einem Netzwerk auf ein anderes Netzwerk bzw. von VLAN zu VLAN blockiere, muss ich den "Rückweg" auch als extra Rule eintragen?
VG
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenEs gibt 4 Antworten in diesem Thema, welches 691 mal aufgerufen wurde. Der letzte Beitrag () ist von Naichbindas.
Hallo,
nur mal so für mein Verständnis:
Wenn ich (der Einfachheit halber als Beispiel) den Zugriff von einem Netzwerk auf ein anderes Netzwerk bzw. von VLAN zu VLAN blockiere, muss ich den "Rückweg" auch als extra Rule eintragen?
VG
Moin wildmaster
Ich versuche das mal zu erklären.
Es kommt drauf an was du vor hast.
Nehmen wir mal an du hast zwei verschiedene VLAN´s.
Darin befindet sich jeweils ein PC.
Die nennen wir mal PC-A und PC-B.
Wenn PC-A etwas von PC-B will dann muss er bei PC.B anfragen.
Was ja eigentlich nicht geht, bei einer guten Firewall ist ja erstmal alles dicht.
Deswegen wird eine Firewallregel erstellt von PC-A in die Richtung PC-B.
Dann fragt PC-A bei PC-B an und PC-B antwortet auf genau diesem Weg zurück.
Die beiden unterhalten sich.
Das ganz kann man auch zusätzlich durch Portregeln verfeinern.
Möchte aber nun PC-B sich mit PC-A unterhalten, dann wiederum geht es nicht.
Hier bedarf es einer weiteren Firewallregel in die andere Richtung.
mfg
Moin,
IM Grunde genommen JA denn du definierst ja ein Regel mit Quelle / Ziel.
Diese Regeln passt nicht für den Rückweg
z.B darf sich 192.168.1.4:53431 (Port ist zufällig bei TCP) mit 10.1.3.4:80 (litt) Daten schicken
aber zurück darf Port 80 noch lange nicht an Port 192.168.1.4:53431
ABER: Meist ist der Rückweg Dynamisch mit Statefuel Firerwalling realisiert (was eigentlich alle
können aber immer noch gerne als „der heiße schieß beworben wird)
Grade weil bei z.B TCP der Source Port zufällig ist (kann von 1024 -65556)
Das sind dann die Eintrage wo unten „Establish" und „Releatetd“ bei Advance aktiviert haben.
Damit kann mann erreichen das die FW sich merk was wohin erlaubt wurde und dann
den Rückweg auch Dynamisch erlaubt.
Das ist im übrigen auch schon bei der Default nich länderbaren Default regeln fürs Internet
Raus Darf alles und rein darf dann nur wo es auch ein Raus für gibt (was dann nur durch statische
Portweiterleitungen aufgeweicht wird)
Ok danke für die Erklärungen.
Das erhöht dann quasi die Anzahl der Regeln mit jedem VLan.
VLan 1 darf nicht mit 2 und 3 kommunizieren, 2 nicht mit 1 und 3, 3 nicht mit 1 und 2.
Kommt jetzt VLan 4 dazu, was mit VLan 2, aber nicht mit 1 und 3 kommunizieren darf, dann wird’s langsam komplizier bzw. komplex. 😁
wildmaster genauso ist das und noch komplexer wird es wenn du einzelne Geräte untereinander zulassen oder verbieten willst.
Daher ist mit statischen IP Adressen zu arbeiten keine schlechte Idee und sich bei der Firewall mal mit dem Thema Gruppen auseinander zu setzen. Du solltest auch die Reihenfolge der Regln beachten.
mfg
zur Zeit sind 68 Mitglieder und 431 Gäste online - Rekord: 129 Benutzer ()