Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1203 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Erklärung Paketfilter

meebox
Hallo

ich brauch mal eine kleine Erklärung zu den Paketfiltern in der EssentialVersion.

Ich habe um die ASG schnell in Betrieb zu nehmen eine Filterregel definiert in der ich die Gruppendefinition "Web Surfing" freigegeben habe. Da ich noch mehr Dienste (SSH etc.) benötigt habe und auf die Schnelle nicht x Regeln definieren wollte habe ich einfach die Gruppe um die Dienste erweitert. Funktioniert alles prächtig. Nun will ich ja aber Ordnung da drin haben und wollte für jeden Dienst eine ordentliche Regel definieren. Das funktioniert aber nicht.

Wenn ich also die Regel für den SSH-Dienst erstelle zieht die nicht. Nehme ich den Dienst einfach mit in die Websurfing-Gruppe funktioniert alles wie geplant.

Die Regeln sind alle "Any - Dienst - internes Netz"

Hab ich da jetzt einen Knoten im Hirn?! Wie greifen die Paketfilter in der Essential ASG? Ich bin bisher davon ausgegangen einfach "von oben nach unten". Oder geht nur eine "gleiche" Filterregel?!


This thread was automatically locked due to age.
  • 0
    Hi,

    PF-Regeln werden der Reihe nach abgearbeitet. Konvention ist Quelle-Service-Ziel-Aktion.

    Ohne weitere Infos kann man schlecht beurteilen was abzuändern ist. Guck einfach mal im PF-live log. Vielleicht kannst gleich selbst erkennen, was weshalb gedroppt wird und es entsprechend anpassen.
  • 0 in reply to tov
    Was für Infos benötigst du?

    Die Regeln lauten: Quelle: Any / Service: zB. SSH / Ziel: Web (Network) / Aktion:Zulassen

    Web (Network) ist einfach ein Subnetz mit Webservern.

    Zum Beispiel: Zwei gleiche Regeln - eine mit "Web Surfing" inkl. SSH und eine nur für SSH. Ist SSH in "Web Surfing" integriert funktioniert es. Nehme ich es heraus und aktiviere die SSH-Regel dann funktioniert es nicht.

    Im Live-Log taucht nix auf. Die Block-Meldung zu dem Punkt lautet "SSH connection attempt". Ist die "WebSurfing-Regel inkl. SSH" aktiv, läuft es mit "Connection using NAT" durch.
  • 0
    Fehler gefunden! Es war ein falsch konfiguriertes DNAT. Das DNAT hat nur die Gruppe "Web Surfing" genatet.

    Danke das wir drüber gesprochen haben.