Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Draytek Router - Firewall Regeln greifen nicht wie gewünscht

Frage Netzwerke Router & Routing

Mitglied: xensored

xensored (Level 1) - Jetzt verbinden

23.01.2015 um 16:58 Uhr, 1330 Aufrufe, 3 Kommentare

Hallo zusammen,

mir bereitet die Firewall eines Draytek 2920 Router etwas Kopfzerbrechen.

Ich habe 2 tagged VLANs erstellt, die ordnungsgemäß funktionieren.

Wunschvorstellung:
192.168.1.xxx / VLAN1 / VID=1 = Zugriff auf das Gesamte Internet
192.168.2.xxx / VLAN2 / VID=64 = Zugriff nur auf 2-3 Seiten, alles andere blockiert

Realisiert habe ich es wie folgt:

- Keyword Object mit 3 URLs angelegt
- URL Content Filter Profil angelegt, das Keyword Object als "pass"
- Firewall-Regel für den Data Filter angelegt:

Direction: LAN --> WAN
Source: 192.168.2.xxx
Destination: ANY
Filter: Pass if no further match
URL Content Filter: den entsprechenden ausgewählt

Das Ganze funktioniert soweit. Alle angemeldeten Geräte mit einer 192.168.2.xxx können nur die 3 URLs besuchen, ansonsten werden Webseiten blockiert.

Allerdings kommt übers WLAN auch Traffic von Tablets, Smartphones. Bei diesen sollen nicht nur alle Webseiten (außer den 3 URLs) blockiert werden, sondern auch Playstore, GMAIL und jeglicher anderer Traffic ins Netz.
Der geht mit dieser Regel momentan noch durch...

Wenn ich dafür einen weiteren Filter unter dem bereits genutzten anlege der den gesamten Traffic blockiert, dann wird der vorherige immer ignoriert und es werden auch meine 3 URLs blockiert

Kann mir jemand erklären, wie ich einen Filter anlege, der erst NACH dem ersten greift? Vermutlich habe ich da einen Denkfehler drin bzw. ich komme nicht auf die Lösung



Mitglied: aqui
23.01.2015 um 19:45 Uhr
Das ist völlig normal bei solch einfachen Router Produkten. Es gibt 2 wichtige Grundregeln:
  • Regeln funktionieren immer nur inbound
  • Es gilt: First match wins !
Letzterer ist für dich der entscheidende. Sowie eine Regel im gesamten Template greift werden folgende NICHT mehr abgearbeitet. Genau in das Problem fällst du.
Entweder du strukturierst also dein regelwerk entsprechend indem zu zuerst die Ports der Smartphone Dienste sperrst und dann den URL Filter aktivierst oder du musst auf eine richtige Firewall Hardware wechseln.
Bitte warten ..
Mitglied: xensored
30.01.2015 um 11:24 Uhr
Hallo,

danke für deine Antwort, aber leider muss ich dir da etwas wiedersprechen, da der Draytek Router eine eigentlich recht gute Objektbasierte Firewall hat, die auch outbound alles regeln kann.

Sollte jemand einmal ein ähnliches Problem haben ... hier wird ganz gut beschrieben, wie die Regeln angelegt werden sollten:
http://www.draytek.com/index.php?option=com_k2&view=item&id=142 ...

In meinem Fall sieht die Lösung wie folgt aus:

1. Keyword Object mit 3 URLs angelegt, die aufgerufen werden dürfen
2. URL Content Filter Profil angelegt und dort das Keyword Object als "pass" bei URL Access Control eintragen
3. Die Firewall-Regeln für den Data Filter im Set 2 ab Regel 2 anlegen

Regel 2: Block All, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=any, WICHTIG: Bei Filter= Block if no further match.

Damit wird erstmal jeglicher Verkehr der Clients outbound geblockt und mit der Einstellung "Block if no further match" wird auf eventuelle folgende Regeln verwiesen, die einzelne Dinge erlauben können.

Regel3: DNS erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 53 UDP, Filter=Pass immediately

Regel4: WEB teilweise erlauben, Richtung Lan >> WAN, Source=any bzw. die betreffende Range,Gruppe oder VLAN, Destination=Port 80 TCP, Filter=Pass immediately, WICHTIG: URL Conntent Filter=Das oben angelegte Profil mit den 3 Webseiten auswählen

Damit werden dann nicht alle Webseiten für diese Clients freigegeben, sondern nur die 3 ausgewählten im URL Content Profil.

Es hat zwar etwas Zeit gekostet, aber die Lösung funnktioniert nun genau wie gewünscht und sämtlicher anderes Traffic von den Smartphones, Tablets wird blockiert. Auch wird der Datenverkehr einer App, der auf eine der erlaubten Webseiten verweist durchgelassen und lässt also die Verwendung einer bestimmten App wie gewünscht zu.
Bitte warten ..
Mitglied: aqui
30.01.2015 um 17:34 Uhr
Danke fürs Feedback !
Das mit der FW mag dann in neuen Produkten so sein. Gebe zu das das Draytek KnoffHoff schon etwas betagter ist Wieder was gelernt... !
Gut wenn nun alles klappt wie es soll.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
The Router rumble: Ars DIY build Router/Firewall (2)

Link von Kuemmel zum Thema Router & Routing ...

Cluster
gelöst Windows NLB - Firewall Regeln (8)

Frage von eyetSolutions zum Thema Cluster ...

Router & Routing
gelöst ASUS RT-AC68 Router Firewall Fehlfunktion? (43)

Frage von pk-911 zum Thema Router & Routing ...

Firewall
gelöst Sophos UTM: Firewall Regeln (7)

Frage von StillerLeser09 zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...