3
Draytek Router - Firewall Regeln greifen nicht wie gewünscht
Hallo zusammen,
mir bereitet die Firewall eines Draytek 2920 Router etwas Kopfzerbrechen.
Ich habe 2 tagged VLANs erstellt, die ordnungsgemäß funktionieren.
Wunschvorstellung:
192.168.1.xxx / VLAN1 / VID=1 = Zugriff auf das Gesamte Internet
192.168.2.xxx / VLAN2 / VID=64 = Zugriff nur auf 2-3 Seiten, alles andere blockiert
Realisiert habe ich es wie folgt:
- Keyword Object mit 3 URLs angelegt
- URL Content Filter Profil angelegt, das Keyword Object als "pass"
- Firewall-Regel für den Data Filter angelegt:
Direction: LAN --> WAN
Source: 192.168.2.xxx
Destination: ANY
Filter: Pass if no further match
URL Content Filter: den entsprechenden ausgewählt
Das Ganze funktioniert soweit. Alle angemeldeten Geräte mit einer 192.168.2.xxx können nur die 3 URLs besuchen, ansonsten werden Webseiten blockiert.
Allerdings kommt übers WLAN auch Traffic von Tablets, Smartphones. Bei diesen sollen nicht nur alle Webseiten (außer den 3 URLs) blockiert werden, sondern auch Playstore, GMAIL und jeglicher anderer Traffic ins Netz.
Der geht mit dieser Regel momentan noch durch...
Wenn ich dafür einen weiteren Filter unter dem bereits genutzten anlege der den gesamten Traffic blockiert, dann wird der vorherige immer ignoriert und es werden auch meine 3 URLs blockiert
Kann mir jemand erklären, wie ich einen Filter anlege, der erst NACH dem ersten greift? Vermutlich habe ich da einen Denkfehler drin bzw. ich komme nicht auf die Lösung
mir bereitet die Firewall eines Draytek 2920 Router etwas Kopfzerbrechen.
Ich habe 2 tagged VLANs erstellt, die ordnungsgemäß funktionieren.
Wunschvorstellung:
192.168.1.xxx / VLAN1 / VID=1 = Zugriff auf das Gesamte Internet
192.168.2.xxx / VLAN2 / VID=64 = Zugriff nur auf 2-3 Seiten, alles andere blockiert
Realisiert habe ich es wie folgt:
- Keyword Object mit 3 URLs angelegt
- URL Content Filter Profil angelegt, das Keyword Object als "pass"
- Firewall-Regel für den Data Filter angelegt:
Direction: LAN --> WAN
Source: 192.168.2.xxx
Destination: ANY
Filter: Pass if no further match
URL Content Filter: den entsprechenden ausgewählt
Das Ganze funktioniert soweit. Alle angemeldeten Geräte mit einer 192.168.2.xxx können nur die 3 URLs besuchen, ansonsten werden Webseiten blockiert.
Allerdings kommt übers WLAN auch Traffic von Tablets, Smartphones. Bei diesen sollen nicht nur alle Webseiten (außer den 3 URLs) blockiert werden, sondern auch Playstore, GMAIL und jeglicher anderer Traffic ins Netz.
Der geht mit dieser Regel momentan noch durch...
Wenn ich dafür einen weiteren Filter unter dem bereits genutzten anlege der den gesamten Traffic blockiert, dann wird der vorherige immer ignoriert und es werden auch meine 3 URLs blockiert
Kann mir jemand erklären, wie ich einen Filter anlege, der erst NACH dem ersten greift? Vermutlich habe ich da einen Denkfehler drin bzw. ich komme nicht auf die Lösung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 260932
Url: https://administrator.de/contentid/260932
Printed on: April 18, 2024 at 23:04 o'clock
3 Comments
Latest comment
Das ist völlig normal bei solch einfachen Router Produkten. Es gibt 2 wichtige Grundregeln:
Entweder du strukturierst also dein regelwerk entsprechend indem zu zuerst die Ports der Smartphone Dienste sperrst und dann den URL Filter aktivierst oder du musst auf eine richtige Firewall Hardware wechseln.
- Regeln funktionieren immer nur inbound
- Es gilt: First match wins !
Entweder du strukturierst also dein regelwerk entsprechend indem zu zuerst die Ports der Smartphone Dienste sperrst und dann den URL Filter aktivierst oder du musst auf eine richtige Firewall Hardware wechseln.
Hallo,
danke für deine Antwort, aber leider muss ich dir da etwas wiedersprechen, da der Draytek Router eine eigentlich recht gute Objektbasierte Firewall hat, die auch outbound alles regeln kann.
Sollte jemand einmal ein ähnliches Problem haben ... hier wird ganz gut beschrieben, wie die Regeln angelegt werden sollten:
http://www.draytek.com/index.php?option=com_k2&view=item&id=142 ...
In meinem Fall sieht die Lösung wie folgt aus:
1. Keyword Object mit 3 URLs angelegt, die aufgerufen werden dürfen
2. URL Content Filter Profil angelegt und dort das Keyword Object als "pass" bei URL Access Control eintragen
3. Die Firewall-Regeln für den Data Filter im Set 2 ab Regel 2 anlegen
Regel 2: Block All, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=any, WICHTIG: Bei Filter= Block if no further match.
Damit wird erstmal jeglicher Verkehr der Clients outbound geblockt und mit der Einstellung "Block if no further match" wird auf eventuelle folgende Regeln verwiesen, die einzelne Dinge erlauben können.
Regel3: DNS erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 53 UDP, Filter=Pass immediately
Regel4: WEB teilweise erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 80 TCP, Filter=Pass immediately, WICHTIG: URL Conntent Filter=Das oben angelegte Profil mit den 3 Webseiten auswählen
Damit werden dann nicht alle Webseiten für diese Clients freigegeben, sondern nur die 3 ausgewählten im URL Content Profil.
Es hat zwar etwas Zeit gekostet, aber die Lösung funnktioniert nun genau wie gewünscht und sämtlicher anderes Traffic von den Smartphones, Tablets wird blockiert. Auch wird der Datenverkehr einer App, der auf eine der erlaubten Webseiten verweist durchgelassen und lässt also die Verwendung einer bestimmten App wie gewünscht zu.
danke für deine Antwort, aber leider muss ich dir da etwas wiedersprechen, da der Draytek Router eine eigentlich recht gute Objektbasierte Firewall hat, die auch outbound alles regeln kann.
Sollte jemand einmal ein ähnliches Problem haben ... hier wird ganz gut beschrieben, wie die Regeln angelegt werden sollten:
http://www.draytek.com/index.php?option=com_k2&view=item&id=142 ...
In meinem Fall sieht die Lösung wie folgt aus:
1. Keyword Object mit 3 URLs angelegt, die aufgerufen werden dürfen
2. URL Content Filter Profil angelegt und dort das Keyword Object als "pass" bei URL Access Control eintragen
3. Die Firewall-Regeln für den Data Filter im Set 2 ab Regel 2 anlegen
Regel 2: Block All, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=any, WICHTIG: Bei Filter= Block if no further match.
Damit wird erstmal jeglicher Verkehr der Clients outbound geblockt und mit der Einstellung "Block if no further match" wird auf eventuelle folgende Regeln verwiesen, die einzelne Dinge erlauben können.
Regel3: DNS erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 53 UDP, Filter=Pass immediately
Regel4: WEB teilweise erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 80 TCP, Filter=Pass immediately, WICHTIG: URL Conntent Filter=Das oben angelegte Profil mit den 3 Webseiten auswählen
Damit werden dann nicht alle Webseiten für diese Clients freigegeben, sondern nur die 3 ausgewählten im URL Content Profil.
Es hat zwar etwas Zeit gekostet, aber die Lösung funnktioniert nun genau wie gewünscht und sämtlicher anderes Traffic von den Smartphones, Tablets wird blockiert. Auch wird der Datenverkehr einer App, der auf eine der erlaubten Webseiten verweist durchgelassen und lässt also die Verwendung einer bestimmten App wie gewünscht zu.
Danke fürs Feedback !
Das mit der FW mag dann in neuen Produkten so sein. Gebe zu das das Draytek KnoffHoff schon etwas betagter ist
Wieder was gelernt... !
Gut wenn nun alles klappt wie es soll.
Das mit der FW mag dann in neuen Produkten so sein. Gebe zu das das Draytek KnoffHoff schon etwas betagter ist
Wieder was gelernt... !Gut wenn nun alles klappt wie es soll.
