Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

M0n0wall Regeln erstellen - Wie?

Frage Netzwerke

Mitglied: Kartan

Kartan (Level 1) - Jetzt verbinden

15.12.2010 um 14:56 Uhr, 5621 Aufrufe, 4 Kommentare

Gegeben ist ein x86-System mit vier Netzwerkkarten und m0n0wall auf 'ner CF-Karte. Wie die Firewall-Regeln in der Theorie aussehen sollen, ist mir auch klar - nur funktioniert es in der Praxis nicht.

Hallo zusammen,

Ich beschäftige mich seit geraumer Zeit mit der m0n0wall (http://m0n0.ch) und finde diese Softwarelösung für heimische Netze und kleine Firmen eigentlich ganz elegant, bringt sie doch einen gewaltigen Funktionsumfang mit, den sonst teilweise nur die großen Enterprise-Büchsen von Juniper oder Cisco bieten.

Zusammengeschraubt und Grundinstalliert ist die Kiste auch - sprich, die NICs sind soweit richtig bezeichnet, mit ihren Netzen versehen etc.

Die Basisregel zwischen INT und * passt auch soweit, von meinem Netz möchte ich vorerst ins * alles dürfen (schließlich bin ich hier der Admin ^^).

Dazu existieren zwei weitere Interfaces: DMZ (wie der Name schon sagt - da soll irgendwann mal ein Webserver/Proxy und evtl. ein Mailrelay drinnestehen), aber die DMZ ist vorerst nicht so wichtig. Wichtiger ist ein Interface, wo eine weitere Wohnung hier im Hause angeschlossen ist, deren Bewohner allerdings nicht alles können sollen:

Vom MIETER-Iface zum WAN soll folgendes funktionieren:

Ping
HTTP
HTTPS
SMTP
POP3
IMAP
IRC (6667-6669)

sowie die DNS-Requests an die m0n0wall selbst.

Alles andere soll geblockt werden, vor allem der Verkehr in das INT-Netz (sprich mein eigenes Netz) möchte ich zuverlässig unterbinden.

Nun habe ich schon den ganzen gestrigen Tag und den heutigen Vormittag gelesen, gebastelt, ausprobiert etc., aber noch keine funktionierende Lösung hinbekommen (das Experimentier-Schlachtfeld packe ich mal als Screenshot hierher).

2d212c1fd75730a9fd78d17b5f7169b0 - Klicke auf das Bild, um es zu vergrößern

Mit der "Temp-Rule" komme ich natürlich prima ins Web, aber dummerweise auch überall in die anderen Netze ...

Vielleicht mag mir ja jemand dabei helfen, würde mich freuen (Bin zwar selbst Informatiker, aber auf diesem Gebiet schraube ich einfach zu selten -.-).

Vielen Dank
der Kartan
Mitglied: aqui
15.12.2010 um 15:27 Uhr
Bei einer Firewall Regel gilt immer :"First match wins...." !!!
Folglich muss deine Blocking Regel am Ende der Liste ganz an den Anfang !
Dann funktionierts auch !
Kannst du mit Klick auf (e)dit einfach verschieben.
Der Rest der Liste sieht OK aus
Bitte warten ..
Mitglied: Kartan
15.12.2010 um 16:09 Uhr
Oh, mir fällt jetzt erst auf, daß ich garnicht geschrieben habe, was funktioniert und was nicht -.- (Bin schon etwas verbastelt im Kopf )

Also ... wenn ich die Temp-Route deaktiviere, funktioniert nur das Pingen in die Welt, keine Namensauflösung, kein HTTP, nix. Ich kann nichtmal die m0n0wall anpingen, geschweige denn als DNS abfragen ...

Daß die Block-Regel nach oben muss, erscheint mir logisch, aber lieber wäre es mir, wenn ich die garnicht bräuchte sondern generell nur mit den Regeln den erlaubten Verkehr von MIETER nach WAN definiere (alles undefinierte geht ja nicht).
Bitte warten ..
Mitglied: aqui
15.12.2010 um 17:13 Uhr
Das Problem ist das WAN = Internet = * ist und damit (* = alle IP Netze) matched auch natürlich Traffic in die anderen lokalen Monowall IP Segmente wenn die Block Regeln nicht gleich am Anfang stehen bei einer Regel.
Du kannst das Pferd aber auch von hinten aufzäumen und die Blockregel im Zielsegment eintragen zum Mieter Segment.
Aber auch da hast du das Problem wenn hier auch Internet Zugang erlaubt ist (also wieder * ) muss die Block Regel auch hier wieder ganz an den Anfang.
Was den Rest anbetrifft solltest du erstmal mit * * am Mieter Segment testweise alles erlauben um zu checken das du korrekte IPs bekommst und das Mono Interface Pingen kannst.
Ist das der Fall kannst du die Liste wieder aktivieren !
Ein Blick in das Firewall Log öffnet immer die Augen...denn dort wird alles mitprotokolliert und man kann genau sehen wo es kneift !
Lies dir zusätzlich die Monowall pfSense Tutorials durch hier. Im Umfang der Thread Historie findest du diverse Beispiele funktionierender FW Regeln !
Bitte warten ..
Mitglied: aqui
17.12.2010 um 21:03 Uhr
Wenns das jetzt war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(4)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (41)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (20)

Frage von terminator zum Thema LAN, WAN, Wireless ...