Verständnisprobleme der Firewall

[Pixelschubser]

Hallo zusammen,

ich versuche gerade die Firewall zu verstehen. Dazu habe ich ein paar Fragen. In welcher Art bzw Reihenfolge werden die Regeln bearbeitet? Ich finde dazu nichts ausführliches in der Hilfe oder im Wiki.

Aus Sicherheitsgründen habe ich „Wenn keine Regel zutrifft“ auf „Zugriff verweigern“ gestellt.
Ich möchte generell das nur interne IP`s und externe nur aus Deutschland zugreifen können. Muss ich nun für jeden Port zwei Regeln anlegen?

Und wie durchläuft ein Zugriff eigentlich die Regeln? Wenn die erste Regel nicht zutrifft, wird dann abgebrochen oder alle Regeln der Reihe nach auf einen Zugriff angewendet und wie werden die dann verknüpft?

Danke schon mal.


P.S. Ich hoffe diese Rubrik ist die richtige aber ich finde keine für die Firewall.

 

[jahlives]

Wie bei (fast) jeder Firewall: von oben nach unten und dem Prinzip first come first serve Trifft keine Regel zu wird die default verwendet

 

[Pixelschubser]

Ok, Reihenfolge ist klar, aber wie werden sie verknüpft?
„Wenn eine stimmt wird der Zugriff erlaubt“ oder „Wenn alle stimmen wird er Zugriff erlaubt“?

Wenn default auf Verweigern steht bringen doch nur einzelne Regeln etwas wenn die irgendwas erlauben oder?
Wenn ich also in einer Regel Port 123 erlaube in einer zweiten Regel Port 456 dann würde ja nie ein Zugriff erlaubt weil sie sich gegenseitig ausschließen oder?

Irgendwie verstehe ich das Prinzip nicht wie die Regeln einer nach der anderen angewendet werden.

 

[jahlives]

sie werden GAR NICHT verknüpft sondern einfach von oben nach unten abgearbeitet. Beim ersten Treffer wird die definierte Aktion angewendet und dann wird nicht mehr weiter gesucht (first come first serve)
Default verweigern ist der Whitelist Ansatz d.h. die gewünschten Zugriffe musst du explizit erlauben. Default erlauben ist der Blacklist Ansatz d.h. unerwünschte Zugriffe musst du explizit verbieten

 

[Pixelschubser]

Und Treffer ist … wenn beide, also „Ports“ und „Quell-IP“ stimmen, dann wird nicht weiter gemacht und Zugriff gewährt (oder abgelehnt je nach dem was in Aktion steht), ansonsten die nächste Regel geprüft.
Wenn alle Regeln durch sind, und somit keine einen Zugriff erlaubt hat, wird die letzte Regel „Wenn keine Regel zutrifft“ benutzt.

Somit muss ich zwei Regel eintragen wenn ein Port von Intern 192... und Region „Deutschland“ erreichbar sein soll. ZB.

1: Port=123; Region=“Deutschland“; Zulassen
2: Port=123; Region“192.168.1.0-192.168.1.255“; Zulassen

So habe ich das richtig verstanden oder?

 

[jahlives]

Das sollte in etwa hinkommen. Wobei man sich beim Blockieren/Zulassen ganzer Regionen schon fragen sollte inwiefern das wirklich Sinn macht. Ein IP-Block kann innert sehr kurzer Zeit geografisch ganz wo anders sein. Wenn dann die Liste nicht sauber gepflegt wird blockiert man schnell zu viel oder zu wenig.

 

[Pixelschubser]

Ok, das mit der Region stimmt natürlich. Aber die ich zulassen will haben alle Internet von bekannten deutschen Providern aber ich denke die sind relativ stabil bzw gepflegt aber haben natürlich DSL mit wechselnder IP. Daher wolle ich es mal versuchen/riskieren.

Vielen danke dir für deine Hilfe.

 

[b1tchnow]

Wobei man natürlich streiten kann, ob eine Firewall überhaupt Sinn macht in Deinem Fall.

Wo kein Dienst, da kein Port. Wo ein Dienst, da auch in der Firewall offen für den Zugriff.

Wenn das Ding dann noch hinter einem Router steht, wird's völlig obsolet.

Sinnvoll wird das erst, wenn Du Mischformen aus Außen- und Innenzugiff hast.

 

[Pixelschubser]

Ich denke nicht das die Firewall der DS ganz obsolet ist. Ich habe drei Netze via VPN des Routers verbunden „192.168.(1,2 u. 3).x“. Im Router könnte ich zwar IP Bereiche verbieten aber nicht auf Port Ebene. Das würde bedeuten der Zugriff auf die DS ist entweder oder. So kann ich aber schön begrenzen das zwar ich aus Netz .1.x FTP darf aber keiner aus dem anderen Netzen. Klar ist das auch durch Userrechte begrenzt aber so sieht keiner welche Ports offen sind und wird nicht erst durch das Login begrenzt.

Ein anderes Beispiel ist der Plexserver den ich via dyndns freigegeben habe und auf den welche aus der Familie von außen zuzugreifen. Mit dem Router kontrolliere ich die Ports bzw. leite sie weiter und durch die DS kann ich dann die Region begrenzen (wenn wir die Zuverlässigkeit der Regionen mal außer Betracht lassen). Klar ist auch hier durch Rechte geregelt was der User sieht.

Ich denke es gibt heute so viele Zugriffsversuche, auch und vor allem von ausländischen Adressen, das man alles was man hat auch in Stellung bringen sollte. So kann man zumindest aus bestimmten Regionen ein BruteForce im Keim ersticken. Klar kann sich jeder zB über HideMe und Konsorten in fast jedes Land versetzten aber es ist halt einfach eine weitere Maßnahme sich abzusichern.

 

[b1tchnow]

Dieses Szenario war mir nicht bekannt und dann ist das eine andere Geschichte!