Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Draytek Router - Firewall Regeln greifen nicht wie gewünscht

Frage Netzwerke Router & Routing

Mitglied: xensored

xensored (Level 1) - Jetzt verbinden

23.01.2015 um 16:58 Uhr, 1526 Aufrufe, 3 Kommentare

Hallo zusammen,

mir bereitet die Firewall eines Draytek 2920 Router etwas Kopfzerbrechen.

Ich habe 2 tagged VLANs erstellt, die ordnungsgemäß funktionieren.

Wunschvorstellung:
192.168.1.xxx / VLAN1 / VID=1 = Zugriff auf das Gesamte Internet
192.168.2.xxx / VLAN2 / VID=64 = Zugriff nur auf 2-3 Seiten, alles andere blockiert

Realisiert habe ich es wie folgt:

- Keyword Object mit 3 URLs angelegt
- URL Content Filter Profil angelegt, das Keyword Object als "pass"
- Firewall-Regel für den Data Filter angelegt:

Direction: LAN --> WAN
Source: 192.168.2.xxx
Destination: ANY
Filter: Pass if no further match
URL Content Filter: den entsprechenden ausgewählt

Das Ganze funktioniert soweit. Alle angemeldeten Geräte mit einer 192.168.2.xxx können nur die 3 URLs besuchen, ansonsten werden Webseiten blockiert.

Allerdings kommt übers WLAN auch Traffic von Tablets, Smartphones. Bei diesen sollen nicht nur alle Webseiten (außer den 3 URLs) blockiert werden, sondern auch Playstore, GMAIL und jeglicher anderer Traffic ins Netz.
Der geht mit dieser Regel momentan noch durch...

Wenn ich dafür einen weiteren Filter unter dem bereits genutzten anlege der den gesamten Traffic blockiert, dann wird der vorherige immer ignoriert und es werden auch meine 3 URLs blockiert

Kann mir jemand erklären, wie ich einen Filter anlege, der erst NACH dem ersten greift? Vermutlich habe ich da einen Denkfehler drin bzw. ich komme nicht auf die Lösung



Mitglied: aqui
23.01.2015 um 19:45 Uhr
Das ist völlig normal bei solch einfachen Router Produkten. Es gibt 2 wichtige Grundregeln:
  • Regeln funktionieren immer nur inbound
  • Es gilt: First match wins !
Letzterer ist für dich der entscheidende. Sowie eine Regel im gesamten Template greift werden folgende NICHT mehr abgearbeitet. Genau in das Problem fällst du.
Entweder du strukturierst also dein regelwerk entsprechend indem zu zuerst die Ports der Smartphone Dienste sperrst und dann den URL Filter aktivierst oder du musst auf eine richtige Firewall Hardware wechseln.
Bitte warten ..
Mitglied: xensored
30.01.2015 um 11:24 Uhr
Hallo,

danke für deine Antwort, aber leider muss ich dir da etwas wiedersprechen, da der Draytek Router eine eigentlich recht gute Objektbasierte Firewall hat, die auch outbound alles regeln kann.

Sollte jemand einmal ein ähnliches Problem haben ... hier wird ganz gut beschrieben, wie die Regeln angelegt werden sollten:
http://www.draytek.com/index.php?option=com_k2&view=item&id=142 ...

In meinem Fall sieht die Lösung wie folgt aus:

1. Keyword Object mit 3 URLs angelegt, die aufgerufen werden dürfen
2. URL Content Filter Profil angelegt und dort das Keyword Object als "pass" bei URL Access Control eintragen
3. Die Firewall-Regeln für den Data Filter im Set 2 ab Regel 2 anlegen

Regel 2: Block All, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=any, WICHTIG: Bei Filter= Block if no further match.

Damit wird erstmal jeglicher Verkehr der Clients outbound geblockt und mit der Einstellung "Block if no further match" wird auf eventuelle folgende Regeln verwiesen, die einzelne Dinge erlauben können.

Regel3: DNS erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 53 UDP, Filter=Pass immediately

Regel4: WEB teilweise erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 80 TCP, Filter=Pass immediately, WICHTIG: URL Conntent Filter=Das oben angelegte Profil mit den 3 Webseiten auswählen

Damit werden dann nicht alle Webseiten für diese Clients freigegeben, sondern nur die 3 ausgewählten im URL Content Profil.

Es hat zwar etwas Zeit gekostet, aber die Lösung funnktioniert nun genau wie gewünscht und sämtlicher anderes Traffic von den Smartphones, Tablets wird blockiert. Auch wird der Datenverkehr einer App, der auf eine der erlaubten Webseiten verweist durchgelassen und lässt also die Verwendung einer bestimmten App wie gewünscht zu.
Bitte warten ..
Mitglied: aqui
30.01.2015 um 17:34 Uhr
Danke fürs Feedback !
Das mit der FW mag dann in neuen Produkten so sein. Gebe zu das das Draytek KnoffHoff schon etwas betagter ist Wieder was gelernt... !
Gut wenn nun alles klappt wie es soll.
Bitte warten ..
Ähnliche Inhalte
Cluster
Windows NLB - Firewall Regeln
gelöst Frage von eyetSolutionsCluster8 Kommentare

Hallo zusammen, wir haben in unserem Netzwerk 3 VLANs (23, 28, 29) Wir haben nun 2 Server im 23 ...

Firewall
Sophos UTM: Firewall Regeln
gelöst Frage von 130854Firewall7 Kommentare

Hallo, ich habe eine Sophos UTM daheim stehen, die soweit den ganzen Datenverkehr regelt. Ich habe auch keine ANY-ANY-ANY ...

Router & Routing
Mikrotik hex firewall regeln
Frage von ecki33Router & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

LAN, WAN, Wireless
Draytek Router hinter Unitymedia Modem
Frage von tobmesLAN, WAN, Wireless7 Kommentare

Hi Experten, wir haben jetzt parallel noch einen UnityMedia Business Anschluss bekommen. Wir haben schon seit einiger Zeit einen ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 19 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 21 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.