6
UAG2100 Firewall Regel
Hi,
hat zufällig jm eine UAG von ZyXEL am start oder kennt sich damit tiefergründig aus ?
Speziell für die Firewall.
Konstallation
Fritz.Box 192.168.0.1
ZyXel Drucker 192.168.0.6
NAS für's Logging 192.168.0.7
an Wan-Port vom ZyXEL2100 => 192.168.0.5
LAN2 (Port 3 + 4) => 192.168.1.1 mit DHCP
Dort hab ich n Lappi drangehangen.
Vom Lappi kann ich ins Internet. Soweit so gut.
Nur kann ich auch die Fritz.Box, den Drucker und auch das NAS erreichen, was so nicht erwünscht ist.
Weiter unten hab ich mal n Screenshot von der Firewall gemacht.
Hier habe ich Regel 4 deaktiviert => dann kann ich schon mal keine WAN-Geräte (192.168.0.0/24) erreichen. Dumm nur: Ich komm auch nicht mehr ins Web.
Aktuell fehlt mir die Idee was ich einrichten müsste, dass das Gäste-LAN/WLAN nicht auf die genannten Geräte pingen kann und dennoch ins Web kommt.
Leider ist ZyXEL erst wieder am Dienstag erreichbar.
hat zufällig jm eine UAG von ZyXEL am start oder kennt sich damit tiefergründig aus ?
Speziell für die Firewall.
Konstallation
Fritz.Box 192.168.0.1
ZyXel Drucker 192.168.0.6
NAS für's Logging 192.168.0.7
an Wan-Port vom ZyXEL2100 => 192.168.0.5
LAN2 (Port 3 + 4) => 192.168.1.1 mit DHCP
Dort hab ich n Lappi drangehangen.
Vom Lappi kann ich ins Internet. Soweit so gut.
Nur kann ich auch die Fritz.Box, den Drucker und auch das NAS erreichen, was so nicht erwünscht ist.
Weiter unten hab ich mal n Screenshot von der Firewall gemacht.
Hier habe ich Regel 4 deaktiviert => dann kann ich schon mal keine WAN-Geräte (192.168.0.0/24) erreichen. Dumm nur: Ich komm auch nicht mehr ins Web.
Aktuell fehlt mir die Idee was ich einrichten müsste, dass das Gäste-LAN/WLAN nicht auf die genannten Geräte pingen kann und dennoch ins Web kommt.
Leider ist ZyXEL erst wieder am Dienstag erreichbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 268188
Url: https://administrator.de/contentid/268188
Printed on: April 19, 2024 at 19:04 o'clock
6 Comments
Latest comment
Moin.
Erstelle eine Regel die die IP 192.168.0.1 auf Port 53 (DNS) erlaubt und danach eine Regel die das ganze 192.168.0.x Netz blockt.
Wichtig ist die Reigenfolge ! First Match Wins.
Gruß jodel32
Nutzt du die Fritte nicht als DNS-Proxy und z.B. die Google DNS-Server auf der Zyxel, ist die erste Regel nicht nötig.
Erstelle eine Regel die die IP 192.168.0.1 auf Port 53 (DNS) erlaubt und danach eine Regel die das ganze 192.168.0.x Netz blockt.
Wichtig ist die Reigenfolge ! First Match Wins.
Gruß jodel32
Nutzt du die Fritte nicht als DNS-Proxy und z.B. die Google DNS-Server auf der Zyxel, ist die erste Regel nicht nötig.
Einfacher gesagt als getan. ZyXEL hat da schon unendliche Tiefen.
Nungut. Für DNS hab ich erstal n Service-Plan erstellt. Spart mir eine Regel, da ich ja UDP und TCP Anfragen bekommen könnte. (ID5 im Bild)
Den Verbot (ID7) hab ich mal so nach meinen tech. Verständnis zusammengebaut.
From: LAN2 TO WAN (???) auf deny.
Nur leider läuft der Ping auf n Lappi lustig weiter. Kann also nicht passen.
Hast du ne UAG wo du n Screenshot zur Hand hast. Bilder sagen ja meist mehr als 1.000 Worte
Nungut. Für DNS hab ich erstal n Service-Plan erstellt. Spart mir eine Regel, da ich ja UDP und TCP Anfragen bekommen könnte. (ID5 im Bild)
Den Verbot (ID7) hab ich mal so nach meinen tech. Verständnis zusammengebaut.
From: LAN2 TO WAN (???) auf deny.
Nur leider läuft der Ping auf n Lappi lustig weiter. Kann also nicht passen.
Hast du ne UAG wo du n Screenshot zur Hand hast. Bilder sagen ja meist mehr als 1.000 Worte
wie gesagt 'First Match Wins'. Wenn auf ein Paket eine Regel zutrifft werden folgende Regeln für das zutreffende Interface nicht mehr abgearbeitet.
Erstens gibt es dort die Regel Nr.4 die jeglichen Traffic von LAN2 ins WAN erlaubt, also die folgenden Regeln nicht mehr abgearbeitet werden!
Du musst deine beiden Regeln also vor der Nr.4 platzieren und bei deinen Regeln hast du als Destination 'any' angeben was auch nicht korrekt ist ... sondern da muss einmal die Fritte rein für die DNS-Regel und bei der zweiten Regel das Zielnetz 192.168.0.0/24
Erstens gibt es dort die Regel Nr.4 die jeglichen Traffic von LAN2 ins WAN erlaubt, also die folgenden Regeln nicht mehr abgearbeitet werden!
Du musst deine beiden Regeln also vor der Nr.4 platzieren und bei deinen Regeln hast du als Destination 'any' angeben was auch nicht korrekt ist ... sondern da muss einmal die Fritte rein für die DNS-Regel und bei der zweiten Regel das Zielnetz 192.168.0.0/24
ächts
Oki.Scheint zu jetzt zu gehen. Zumindest bekomm ich schon mal keinen ping mehr auf die 192.168.0.x Device's (ausser auf die UAG mit 192.168.0.5 selbst) und google ist erreichbar. Dann kann ich ja jetzt mal tiefergründiger n paar tests fahren.
So sieht es jetzt aus.
Ist Regel 6 jetzt nicht überflüssig?
Regel 5 verbietet den LAN2 to WAN zugriff... zumindest auf den WAN port.
Regel 6 erlaubt wiederrum LAN2 to WAN in alle anderen Ziele. <= ohne das jetzt mittels 2ten Endgerät geprüft zu haben... aber heißt das hier dass sich die Gäste untereinander (weil ja auch im LAN2 Bereich) untereinander sehen ?
Oki.Scheint zu jetzt zu gehen. Zumindest bekomm ich schon mal keinen ping mehr auf die 192.168.0.x Device's (ausser auf die UAG mit 192.168.0.5 selbst) und google ist erreichbar. Dann kann ich ja jetzt mal tiefergründiger n paar tests fahren.
So sieht es jetzt aus.
Ist Regel 6 jetzt nicht überflüssig?
Regel 5 verbietet den LAN2 to WAN zugriff... zumindest auf den WAN port.
Regel 6 erlaubt wiederrum LAN2 to WAN in alle anderen Ziele. <= ohne das jetzt mittels 2ten Endgerät geprüft zu haben... aber heißt das hier dass sich die Gäste untereinander (weil ja auch im LAN2 Bereich) untereinander sehen ?
Nein, sonst könntest du ja keine Internet-IPs mehr erreichen ...
Regel 5 verbietet den LAN2 to WAN zugriff... zumindest auf den WAN port.
OK, aber nicht der Port sondern das Subnetz am WAN-PortRegel 6 erlaubt wiederrum LAN2 to WAN in alle anderen Ziele.
Genau, du willst ja andere IPs im Internet erreichen aber heißt das hier dass sich die Gäste untereinander (weil ja auch im LAN2 Bereich) untereinander sehen ?
Was meinst du mit Gäste ? im selben Subnetz (Broadcastdomain) sehen sich defaultmäßig alle Rechner.
Aber die Destination für die DNS Regel Nr.4 ist noch immer nicht richtig .., und das Device stimmt ebenfalls nicht. Siehe meine Bemerkung dazu im vorletzen Post.
Eigne dir am besten erst mal Firewall-Grundlagen an.
Eigne dir am besten erst mal Firewall-Grundlagen an.
