LAN B: Nur Port 80 & 443 freigeben?

tHaHooL · 7 Jan 2006

Hallo!

Ich würde gerne bei meiner FBF den LAN B Bereich komplett bis auf Port 80 & 443 sperren. Also rein nur für Internet.

Kann mir da jemand die Regeln nennen die in der ar7.cfg einzutragen sind?

In der Suche konnte ich leider nix dazu finden.

Danke!

wfech · 7 Jan 2006

ja das geht
mach dir mein ein beispiel

wenn LAn B 192.168.2.0 ( Netzadresse )
dann
schreibst du mit dem FBF Editor in die Firewall regeln einfach folgende 3 Zeilen rein und schon gehts nur noch über Port 80 und 443
unter

highoutput {
policy = "permit";
accesslist =

"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"
"deny ip 192.168.2.0 255.255.255.0 any"

wobei 192.168.1.1 das gateway zum internet ist

1. Zeile erlaubt das gesamte Netz von 192.168.2.0 bis 192.168.2.255 den zugang über port 80 nach internet gateway
2. Zeile das selbe nur port 443
3. Zeile verbietet den rest also diese zeile auch als 3. Zeile schreiben sonnst geht nix mehr es wird von oben nach unten durchgearbeitet und wenn was zutrifft wird der rest nicht mehr abgefragt

tHaHooL · 8 Jan 2006

Super!
Danke für die schnelle Antwort!!

Darkyputz · 10 Jan 2006

hallo...habe da mal eben ne verständinsfrage zu deiner regel...
du schreibst:
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"

also den mit 443 würde ich verstehen...192.168.2.0 bis 192.168.255 an gateway 1.1 wenn 443....alles kalr...
aber der erste???? hast du dich da vertipt, oder blick ich was nicht?

wfech · 10 Jan 2006

denkfehler

"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 443"

das sollte so heissen

erst das protocoll ( TCP,UDP,IP ..)
dann IP adresse von wo ,dann subnetmaske die berücksichtigt werden soll (z.b 255.255.0.0 dann wird von 192.168.0 bis 192.168.255.255 alles berücksichtigt)
dann host [( subnetzmaske 255.255.255.255) man kan auch schreiben
192.168.1.1 255.255.255.255 eq 80] danach ip adresse wo hin dann subnetmaske die berücksichtigt werden soll ,eq heist gleich,80 portnummer

war wohl ein bischen verwirrt aber ich hoffe mit dieser erklärung geht das einigermasen

fischefr · 10 Jan 2006

Also für mich heißt das, dass 443 und 80 gesperrt werden, alle anderen nicht.
Wollte er das nicht genau andersrum?

Novize · 10 Jan 2006

fischefr schrieb:
Also für mich heißt das, dass 443 und 80 gesperrt werden, alle anderen nicht.
Wollte er das nicht genau andersrum?

Nö, das heisst:
Leite weiter Port 80
Leite weiter Port 443
Verbiete alles

Wird von oben abgearbeitet und bei Erfolg die Schleife abgebrochen
Also in Basic:
If Port = 80 then reject to IP w.x.y.z else
if Port = 443 then reject to IP w.x.y.z else
deny all

dello · 24 Jan 2006

hallo...habe da mal eben ne verständinsfrage zu deiner regel...
du schreibst:
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"

also den mit 443 würde ich verstehen...192.168.2.0 bis 192.168.255 an gateway 1.1 wenn 443....alles kalr...
aber der erste???? hast du dich da vertipt, oder blick ich was nicht?

Also ich habe auch meine Probleme damit. Ich würde die erste Zeile als "Leite allen IP-Verkehr von (der einen und nur der) IP-Adresse 192.168.2.1, Port 80 ins Internet" verstehen, die zweite Zeile würde ich als "Leite allen IP-Verkehr vom Sub-Netz 192.168.2.0, Port 443, ins Internet" lesen.

Es geht um das vierte Oktett, das ist verwirrend weil unterschiedlich in den beiden Zeilen...

Was ist denn richtig? ...1 oder ...0?

wfech · 24 Jan 2006

schau 2 beiträge weiter oben da hab ich es berichtigt und nochmal erklärt
wenn du es so richtig verstehen willst habe da unterlagen von cisco systems( CCNA) drüber kann ich dir ja zukommen lassen

dello · 24 Jan 2006

wfech schrieb:
schau 2 beiträge weiter oben da hab ich es berichtigt und nochmal erklärt
wenn du es so richtig verstehen willst habe da unterlagen von cisco systems( CCNA) drüber kann ich dir ja zukommen lassen

Ich habe oben nachgeschaut, und gesehen, daß du dich korrigiert hast. Du schreibst dann:

"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 443"

Gehe ich richtig davon aus, daß du damit nur den Traffic vom Host mit der IP 192.168.2.1 ins Internet umleitest, ein Host mit der IP 192.168.2.212 hingegen nicht? Ich würde vom Verständnis her folgende Schreibweise präferieren:
"reject ip 192.168.2.0 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 255.255.255.0 host 192.168.1.1 eq 443"

Damit würde dann doch das ganze Subnetz ins Internet weitergeleitet, also auch der Host mit der IP 192.168.2.212... Oder steh ich immer noch auf dem Schlauch?

Danke im voraus,

Grüße,

dello

wfech · 24 Jan 2006

das subnetz wird mit der 255.255.255.0 bestimmt und die deckt jetzt von 1 bis 254 ab. (255 ist broadcast)
ich denke das es egal ist ob .0 oder .1 am schluss der ip adresse
ich habe nur cisco router configuriert die sind ein bischen anderst

Der_Vogel · 29 Jan 2006

fischefr schrieb:
Also für mich heißt das, dass 443 und 80 gesperrt werden, alle anderen nicht.
Wollte er das nicht genau andersrum?

Hi,

bin zufällig über diesen Thread gestolpert.
Ich denke auch, dass ein "REJECT" das entsprechende Paket verweigert, und NICHT weiterleitet!

Der Unterschied zu "DENY" ist bloß, dass ein "DENY" das Paket kommentarlos verwirft und ein "REJECT" eine ICMP unreachable Nachricht zurückschickt. (oder andersrum?

)

Die Regel
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"

würde also meiner Meinung nach nur den Zugriff von Netzwerk 192.168.2.0/24 auf Port 80 des hosts 192.168.1.1 verweigern. Der Zugriff auf den Port 80 von anderen Rechnern über den Router 192.168.1.1 würde aber dennoch funktionieren.

Meiner Meinung nach sollte die Regel etwa so aussehen:
"permit ip 192.168.2.0 255.255.255.0 any eq 80"

also erlaube den Zugriff von Netzwerk 192.168.2.0/24 auf Zielport 80 beliebiger Adressen.

Über welches Gatway das Paktet weitergeleitet werden soll muss man hier nicht angeben, dafür gibts ja die Routing Einträge in den Routern.

Am Ende muss man jetzt noch alles andere verweigern, dazu also am besten die Standartrichtline (policy = "permit") auf "deny" setzen.

(hab übrigens auch mal 2 Semester Cisco CCNA gemacht)

xsapling · 29 Jan 2006

gibt es denn kein Tool mit dem man sich die benötigten Zeilen erstellen lassen kann?

dello · 29 Jan 2006

Lösung?

Der_Vogel schrieb:
Hi,

bin zufällig über diesen Thread gestolpert.
Ich denke auch, dass ein "REJECT" das entsprechende Paket verweigert, und NICHT weiterleitet!

Der Unterschied zu "DENY" ist bloß, dass ein "DENY" das Paket kommentarlos verwirft und ein "REJECT" eine ICMP unreachable Nachricht zurückschickt. (oder andersrum? )

Die Regel
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"

würde also meiner Meinung nach nur den Zugriff von Netzwerk 192.168.2.0/24 auf Port 80 des hosts 192.168.1.1 verweigern. Der Zugriff auf den Port 80 von anderen Rechnern über den Router 192.168.1.1 würde aber dennoch funktionieren.

Meiner Meinung nach sollte die Regel etwa so aussehen:
"permit ip 192.168.2.0 255.255.255.0 any eq 80"

also erlaube den Zugriff von Netzwerk 192.168.2.0/24 auf Zielport 80 beliebiger Adressen.

Über welches Gatway das Paktet weitergeleitet werden soll muss man hier nicht angeben, dafür gibts ja die Routing Einträge in den Routern.

Am Ende muss man jetzt noch alles andere verweigern, dazu also am besten die Standartrichtline (policy = "permit") auf "deny" setzen.

(hab übrigens auch mal 2 Semester Cisco CCNA gemacht)

Das sieht gut aus... Ich werde mal folgendes probieren:
"permit ip 192.168.2.0 255.255.255.0 any eq 80"
"permit ip 192.168.2.0 255.255.255.0 any eq 443"
"deny ip 192.168.2.0 255.255.255.0 any"

Danke, und Gruß

dello

xsapling · 29 Jan 2006

dello schrieb:
Das sieht gut aus... Ich werde mal folgendes probieren:
"permit ip 192.168.2.0 255.255.255.0 any eq 80"
"permit ip 192.168.2.0 255.255.255.0 any eq 443"
"deny ip 192.168.2.0 255.255.255.0 any"

Danke, und Gruß

dello

Kurze Frage:

An welche Stelle der ar7cfg müssen die Regeln eingetragen werden, so dass diese Ihre Arbeit wirksam verrichten?

xsapling · 30 Jan 2006

hat denn keiner ne Idee?

olistudent · 30 Jan 2006

Hier:
highoutput {
policy = "permit";
accesslist =

Vor dem ersten Mal forwardrules, im Abschnitt DSL-Ifaces...

MfG Oliver

xsapling · 31 Jan 2006

olistudent schrieb:
Hier:
highoutput {
policy = "permit";
accesslist =

Vor dem ersten Mal forwardrules, im Abschnitt DSL-Ifaces...

MfG Oliver

Vielen Dank Oli!
Ist es auch möglich die Ports eines bestimmten/gezielten Rechners im Netzwerk zu sperren?

Testmaster · 7 Feb 2006

xsapling schrieb:
Vielen Dank Oli!
Ist es auch möglich die Ports eines bestimmten/gezielten Rechners im Netzwerk zu sperren?

Ja, würde mich auch interessieren.

Gruß Testmaster

danisahne · 7 Feb 2006

Versuch doch mal die Subnetzmaske 255.255.255.255 anstatt 255.255.255.0 und dann mit der IP anstatt der Netzadresse. Wenn alle Stricke reissen und es nicht mit Boardmitteln geht (oder du den die Ports auch von z.B. LAN A nach LAN B sperren willst), dann kannst du immer noch iptables modden und es damit machen.

Beispiel:

Code:

"permit ip 192.168.2.26 255.255.255.255 any eq 80"
"permit ip 192.168.2.26 255.255.255.255 any eq 443"
"deny ip 192.168.2.26 255.255.255.255 any"

Aber versuch es mal mit der anderen Subnetzmaske. TCP/IP Kenntnisse vorhanden?

Mfg,
danisahne

LAN B: Nur Port 80 & 443 freigeben?

Neuer User

Neuer User

Neuer User

Aktives Mitglied

Neuer User

Mitglied

Moderator

Neuer User

Neuer User

Neuer User

Neuer User

Neuer User

Mitglied

Neuer User

Mitglied

Mitglied

IPPF-Urgestein

Mitglied

Neuer User

Aktives Mitglied

Statistik des Forums