20
Monowall Firewall Regel für Captive Portal
Hallo ihr lieben,
habe ein Problem mit meinen Firewall Regeln in der Monowall.
Habe ein Gäste LAN, ein privates LAN und ein WAN ( logisch ).
Habe die Regeln irgendwie so komplex und verwirrend aufgebaut, das ich nur zum CP umgeleitet werde, wenn ich versuche aus dem Gast Netz ins private Netz zu gelangen. Sobald ich dann das PW und den Nutzernamen eingebe, kann ich auch aus dem Gast Netz überall ins private Netz.
Kann mir jemand helfen ?
Bin schon im voraus dankbar
habe ein Problem mit meinen Firewall Regeln in der Monowall.
Habe ein Gäste LAN, ein privates LAN und ein WAN ( logisch ).
Habe die Regeln irgendwie so komplex und verwirrend aufgebaut, das ich nur zum CP umgeleitet werde, wenn ich versuche aus dem Gast Netz ins private Netz zu gelangen. Sobald ich dann das PW und den Nutzernamen eingebe, kann ich auch aus dem Gast Netz überall ins private Netz.
Kann mir jemand helfen ?
Bin schon im voraus dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 212893
Url: https://administrator.de/contentid/212893
Printed on: April 25, 2024 at 16:04 o'clock
20 Comments
Latest comment
Moin,
meinst du es wäre vllt. sinnvoll das Regelwerk zu posten. Andersrum was erwartest du von uns mit den Informationen die du uns gibst?!
Grüße,
Dani
meinst du es wäre vllt. sinnvoll das Regelwerk zu posten. Andersrum was erwartest du von uns mit den Informationen die du uns gibst?!
Grüße,
Dani
Sonne brennt? Bei uns ist es bewölkt, die Sonne lacht leicht durch die Wolken und es windet. *böseguck*
Grüße,
Dani
Grüße,
Dani
Kennste Ironie? -> Ferien -> Sinnlose Fragen 
Bitte liest dir das Tutorial hier im Forum:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
ganz genau durch, das beantwortet alle deine Fragen sofort.
Speziell das Kapitel was das Firewall regel customizing anbetrifft !!
Nur so viel:
Die Reihenfolge der Regeln ist sehr wichtig hier also unbedingt auf die Logik achten. Die Regeln gelten immer nur eingehend.
Ein Basis Regelwerk sähe so aus:
Email: TCP 25, 465, 587, 110, 995, 143, 993
VPN: TCP 1723, 1701, UDP 4500, ESP Protokoll, GRE Protokoll
Das wären so die wichtigstens Sachen was Gäste so brauchen. Je nach Bedarf kannst du dann weiteres noch aufnehmen.
Anhand deiner Beschreibung kann man davon ausgehen das du einen völlig falsche >Reihenfolge in den Regeln definiert hast. Der typische Anfängerfehler.
Beispiel:
Du gibst oben Source: Gastenetz, Destination: any frei und danach definierst du einen Blocking Liste ins private Netz.
Solcher Unsinn wird nicht funktionieren, denn für die Firewall gilt "First match wins" bedeutet: Die erste Regel die greift bewirkt das alle nachfolgenden NICHT mehr abgearbeitet werden.
Mit dem Beispiel oben kommen also auch Pakete mit der ersten Regel ins private Netz und die Blocking Regel danach wird dann nicht mehr abgearbeitet !
Richtig wäre also: Erst die Blocking Regel und dann any to any !!
In diese simple Falle bist du getappt !!!
Ordne also deine regeln in eine logisch sinnvolle reihenfolge, dann klappt das auch wunderbar !
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
ganz genau durch, das beantwortet alle deine Fragen sofort.
Speziell das Kapitel was das Firewall regel customizing anbetrifft !!
Nur so viel:
Die Reihenfolge der Regeln ist sehr wichtig hier also unbedingt auf die Logik achten. Die Regeln gelten immer nur eingehend.
Ein Basis Regelwerk sähe so aus:
- Basisregel: Source: Gäste LAN Network, Port: any , Destination: any Dest. Port: siehe Liste
- Als erstes solltest du DNS UDP/TCP 53 freigeben
- Dann gibst du TCP 8000 frei (das ist wichtig, denn das ist die Portalseite !)
- Jetzt blockst du ggf. den Zugriff aufs interne Netzwerk
- Nun gibst du frei was deinen Gäste dürfen im Gast WLAN. In der Regel sind das die klassischen Ports:
Email: TCP 25, 465, 587, 110, 995, 143, 993
VPN: TCP 1723, 1701, UDP 4500, ESP Protokoll, GRE Protokoll
Das wären so die wichtigstens Sachen was Gäste so brauchen. Je nach Bedarf kannst du dann weiteres noch aufnehmen.
Anhand deiner Beschreibung kann man davon ausgehen das du einen völlig falsche >Reihenfolge in den Regeln definiert hast. Der typische Anfängerfehler.
Beispiel:
Du gibst oben Source: Gastenetz, Destination: any frei und danach definierst du einen Blocking Liste ins private Netz.
Solcher Unsinn wird nicht funktionieren, denn für die Firewall gilt "First match wins" bedeutet: Die erste Regel die greift bewirkt das alle nachfolgenden NICHT mehr abgearbeitet werden.
Mit dem Beispiel oben kommen also auch Pakete mit der ersten Regel ins private Netz und die Blocking Regel danach wird dann nicht mehr abgearbeitet !
Richtig wäre also: Erst die Blocking Regel und dann any to any !!
In diese simple Falle bist du getappt !!!
Ordne also deine regeln in eine logisch sinnvolle reihenfolge, dann klappt das auch wunderbar !
Entschuldige, ich habe meine Frage nett und höflich formuliert und habe nicht mit einer derartigen Antwort gerechnet.
Bzw hatte gehofft es sagt jemand, Regel muss lauten: Sourece->Destination->Port->Protokool. o.ä.
Wie bekomme ich hier Bilder rein ?
Bzw hatte gehofft es sagt jemand, Regel muss lauten: Sourece->Destination->Port->Protokool. o.ä.
Wie bekomme ich hier Bilder rein ?
Hab Screenshots von der Regel-Seite gemacht.
Meines Verständnisses nach sind sie in der richtigen Reihenfolge und es ist mir ein Rätsel warum das Portal greift wenn ich versuche ins private Netz zu kommen und nicht greift wenn ich ins Internet will
Meines Verständnisses nach sind sie in der richtigen Reihenfolge und es ist mir ein Rätsel warum das Portal greift wenn ich versuche ins private Netz zu kommen und nicht greift wenn ich ins Internet will
Bitte verschone uns mit externen Bilderlinks. Du hast gerade per PM akribisch beschrieben bekommen wie man hier Bilder einbettet 
Der Kardinalsfehler:
so einfach ist das.
Da du immer nur mit "*" also any als destination arbeitest gelten alle diese Regel für ALLE IP Zielnetze inklusive auch deinem Privaten Netz !! Logisch !
In Blöcken musst du das Regelwerk so aufbauen:
1.) Zuerst UDP/TCP 53 DNS erlauben und TCP 8000 das CP
2.) Dann erlaubst du deinen privaten Geräten an die Mac genailten IP Adressen von iPad, iPhone und Co die mit allem durch dürfen mit any any
3.) Jetzt blockst du generell Gast Netz Network auf Privat Net Network (hier bleiben Gäste hängen die auf deinen privat IP wollen aber nicht sollen)
4.) DANN erst erlaubst du Schritt für Schritt was die Gäste an Protokollen dürfen
Wenn du das so aufbaust klappt das sofort.
Und...lösche bitte alle ausgegrauten "Regelleichen" sowas schafft häufig Löcher für Unbefugte !
Der Kardinalsfehler:
- Es fehlt schlicht und ergreifend eine Blocking Regel die generell das Gast IP Netz ins Privatnetz blockt.
so einfach ist das.
Da du immer nur mit "*" also any als destination arbeitest gelten alle diese Regel für ALLE IP Zielnetze inklusive auch deinem Privaten Netz !! Logisch !
In Blöcken musst du das Regelwerk so aufbauen:
1.) Zuerst UDP/TCP 53 DNS erlauben und TCP 8000 das CP
2.) Dann erlaubst du deinen privaten Geräten an die Mac genailten IP Adressen von iPad, iPhone und Co die mit allem durch dürfen mit any any
3.) Jetzt blockst du generell Gast Netz Network auf Privat Net Network (hier bleiben Gäste hängen die auf deinen privat IP wollen aber nicht sollen)
4.) DANN erst erlaubst du Schritt für Schritt was die Gäste an Protokollen dürfen
Wenn du das so aufbaust klappt das sofort.
Und...lösche bitte alle ausgegrauten "Regelleichen" sowas schafft häufig Löcher für Unbefugte !
Die Screenshots waren Tiff und wurden nicht von der Methode die beschrieben wurde unterstützt.
Die Blockregel ins Gästenetz ist vorhanden ( unterer Rand erstes Bild , gleich nach den genailten Durchlass Regeln )
Quasi so wie du es beschrieben hast.
Die Blockregel ins Gästenetz ist vorhanden ( unterer Rand erstes Bild , gleich nach den genailten Durchlass Regeln )
Quasi so wie du es beschrieben hast.
Ich hab das kurz für dich übernommen - Danke - Bitte - Gern geschehen. Somit können wir uns dem Thema wieder zuwenden.
Grüße,
Dani
Grüße,
Dani
1
Wie gut das es Moderatoren gibt...
Na ja mit 3 Mausklicks im Windows bordeigenen "Paint" Programm hätte man das in effizientere JPGs wandeln können...dzzz
Wenn es schon an solchen simplen Basics scheitert wie soll das denn erst mit Firewall ACLs sein ?? Nundenn...
Die Kardinalsfehler sind ja oben schon aufgezählt.... Es bleibt also spannend...
Na ja mit 3 Mausklicks im Windows bordeigenen "Paint" Programm hätte man das in effizientere JPGs wandeln können...dzzz
Wenn es schon an solchen simplen Basics scheitert wie soll das denn erst mit Firewall ACLs sein ?? Nundenn...
Die Kardinalsfehler sind ja oben schon aufgezählt.... Es bleibt also spannend...
2
Ich wusste nicht das es ein derart großes Problem darstellt externe Bilder zu verlinken.
Der Aufwand schien mir kleiner als die Bilder um zu wandeln und solche Basics sind mir durchaus vertraut.
Ich bin seit meinem 12ten Lebensjahr ( seit 16 Jahren ) am Computer unterwegs und habe mit Atari angefangen, bin mir auch unschlüssig was das mit dem Thema zu tun hat ob jemand MS Paint nutzen kann oder nicht ?
Es scheint doch an der Hitze zu liegen...
Der Aufwand schien mir kleiner als die Bilder um zu wandeln und solche Basics sind mir durchaus vertraut.
Ich bin seit meinem 12ten Lebensjahr ( seit 16 Jahren ) am Computer unterwegs und habe mit Atari angefangen, bin mir auch unschlüssig was das mit dem Thema zu tun hat ob jemand MS Paint nutzen kann oder nicht ?
Es scheint doch an der Hitze zu liegen...
Das war aber jetzt im Gegensatz zu der PM weniger freundlich...
(..und auch ziemlich unverständlich wenn man seit dem 12 Lebensjahr fachkundig ist...aber egal !)
Wenden wir uns mal lieber wieder der Lösung des ganzen zu....
(..und auch ziemlich unverständlich wenn man seit dem 12 Lebensjahr fachkundig ist...aber egal !)
Wenden wir uns mal lieber wieder der Lösung des ganzen zu....
@aqui
Na gut, von dir lass ich mich erniedrigen...
@HeppeHotel
Es hat einen guten Grund warum externe Bilder nicht erwünscht sind. Es führt dazu, dass dieser Imagehoster irgendwann die Bilder (teilweise) löscht und somit ist der Thread unvollständig und eigentlich für die Nachwelt nur noch Müll. Darum müssen die Bilder damit diese angezeigt werden in Thread hochgeladen werden. Eine Sache von 5 Minuten... Und wer wann wie mit welchen System gearbeitet hat, ist doch völlig wurst...
Grüße,
Dani
Na gut, von dir lass ich mich erniedrigen...
@HeppeHotel
Es hat einen guten Grund warum externe Bilder nicht erwünscht sind. Es führt dazu, dass dieser Imagehoster irgendwann die Bilder (teilweise) löscht und somit ist der Thread unvollständig und eigentlich für die Nachwelt nur noch Müll. Darum müssen die Bilder damit diese angezeigt werden in Thread hochgeladen werden. Eine Sache von 5 Minuten... Und wer wann wie mit welchen System gearbeitet hat, ist doch völlig wurst...
Grüße,
Dani
2
Dani...das war ein Lob !!! 
@aqui tut mir leid, möchte mich entschuldigen, habe mich vielleicht von den Emotionen leiten lassen. Habe mich für die Berufslaufbahn des Hotelmeisters entschieden und befasse mich aber in der Freizeit sehr stark mit Computern, Servern und allem drum herum aber mein Fach ist das Hotel geworden. Umso mehr frustriert es mich ja, dass ich nicht auf den Fehler komme...
@Dani danke für die Erläuterung, jetzt ergibt es einen Sinn für mich.
@Dani danke für die Erläuterung, jetzt ergibt es einen Sinn für mich.
.@Heppe...
Wie bereits oben gesagt. Der Fehler ist offensichtlich. Fehlende Blocking Regel und Reihenfolge in der FW Regel am WLAN Interface.
Wenn du das korrigierst spielt das auf Anhieb wie es soll
Wie bereits oben gesagt. Der Fehler ist offensichtlich. Fehlende Blocking Regel und Reihenfolge in der FW Regel am WLAN Interface.
Wenn du das korrigierst spielt das auf Anhieb wie es soll
Zitat von @Dani:
Es hat einen guten Grund warum externe Bilder nicht erwünscht sind. Es führt dazu, dass dieser Imagehoster irgendwann
die Bilder (teilweise) löscht und somit ist der Thread unvollständig und eigentlich für die Nachwelt nur noch
Müll. Darum müssen die Bilder damit diese angezeigt werden in Thread hochgeladen werden. Eine Sache von 5 Minuten... Und
wer wann wie mit welchen System gearbeitet hat, ist doch völlig wurst...
Es hat einen guten Grund warum externe Bilder nicht erwünscht sind. Es führt dazu, dass dieser Imagehoster irgendwann
die Bilder (teilweise) löscht und somit ist der Thread unvollständig und eigentlich für die Nachwelt nur noch
Müll. Darum müssen die Bilder damit diese angezeigt werden in Thread hochgeladen werden. Eine Sache von 5 Minuten... Und
wer wann wie mit welchen System gearbeitet hat, ist doch völlig wurst...
Weiterhin ist es noch Mehraufwand für die, die helfen wollen. Es gehen neue Fenster oder Tabs auf, die einen vom aktuellen Fenster fortführen. Man muß ggf javascript/java/flash/cookies/etc. freischalten um die Bilder zu sehen, je nach hoster. Und wenn es mehrere Bilder sind hat man dann ein halbes Dutzend Tabs offen.
Kurz: Es macht den Helfern mehr Aufwand als nötig.
lks
PS. Zum Problem: Aqui hat alles wesentliche schon gesagt.
Hab den Fehler nach langem hin und her selbst gefunden, hatte bei der DNS Regel nicht TCP / UDP sondern nur UDP angegeben.
Kleine Ursache große Wirkung... !
Ein Blick in die Doku hätte das aber schnell klargemacht für dich. DNS ist für beide Protokolle spezifiziert....
http://de.wikipedia.org/wiki/Domain_Name_System
Nichtsdestotrotz ist aber auch die Reihenfolge der Regeln essentiell wichtig. Ebenso die Tatsache das die erste erfüllte Bedingung der Regeln das Abarbeiten der folgenden Regeln stoppt.
Sollte man also auch immer im Hinterkopf behalten
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Ein Blick in die Doku hätte das aber schnell klargemacht für dich. DNS ist für beide Protokolle spezifiziert....
http://de.wikipedia.org/wiki/Domain_Name_System
Nichtsdestotrotz ist aber auch die Reihenfolge der Regeln essentiell wichtig. Ebenso die Tatsache das die erste erfüllte Bedingung der Regeln das Abarbeiten der folgenden Regeln stoppt.
Sollte man also auch immer im Hinterkopf behalten
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
