Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

M0n0wall Regeln erstellen - Wie?

Frage Netzwerke

Mitglied: Kartan

Kartan (Level 1) - Jetzt verbinden

15.12.2010 um 14:56 Uhr, 5598 Aufrufe, 4 Kommentare

Gegeben ist ein x86-System mit vier Netzwerkkarten und m0n0wall auf 'ner CF-Karte. Wie die Firewall-Regeln in der Theorie aussehen sollen, ist mir auch klar - nur funktioniert es in der Praxis nicht.

Hallo zusammen,

Ich beschäftige mich seit geraumer Zeit mit der m0n0wall (http://m0n0.ch) und finde diese Softwarelösung für heimische Netze und kleine Firmen eigentlich ganz elegant, bringt sie doch einen gewaltigen Funktionsumfang mit, den sonst teilweise nur die großen Enterprise-Büchsen von Juniper oder Cisco bieten.

Zusammengeschraubt und Grundinstalliert ist die Kiste auch - sprich, die NICs sind soweit richtig bezeichnet, mit ihren Netzen versehen etc.

Die Basisregel zwischen INT und * passt auch soweit, von meinem Netz möchte ich vorerst ins * alles dürfen (schließlich bin ich hier der Admin ^^).

Dazu existieren zwei weitere Interfaces: DMZ (wie der Name schon sagt - da soll irgendwann mal ein Webserver/Proxy und evtl. ein Mailrelay drinnestehen), aber die DMZ ist vorerst nicht so wichtig. Wichtiger ist ein Interface, wo eine weitere Wohnung hier im Hause angeschlossen ist, deren Bewohner allerdings nicht alles können sollen:

Vom MIETER-Iface zum WAN soll folgendes funktionieren:

Ping
HTTP
HTTPS
SMTP
POP3
IMAP
IRC (6667-6669)

sowie die DNS-Requests an die m0n0wall selbst.

Alles andere soll geblockt werden, vor allem der Verkehr in das INT-Netz (sprich mein eigenes Netz) möchte ich zuverlässig unterbinden.

Nun habe ich schon den ganzen gestrigen Tag und den heutigen Vormittag gelesen, gebastelt, ausprobiert etc., aber noch keine funktionierende Lösung hinbekommen (das Experimentier-Schlachtfeld packe ich mal als Screenshot hierher).

2d212c1fd75730a9fd78d17b5f7169b0 - Klicke auf das Bild, um es zu vergrößern

Mit der "Temp-Rule" komme ich natürlich prima ins Web, aber dummerweise auch überall in die anderen Netze ...

Vielleicht mag mir ja jemand dabei helfen, würde mich freuen (Bin zwar selbst Informatiker, aber auf diesem Gebiet schraube ich einfach zu selten -.-).

Vielen Dank
der Kartan
Mitglied: aqui
15.12.2010 um 15:27 Uhr
Bei einer Firewall Regel gilt immer :"First match wins...." !!!
Folglich muss deine Blocking Regel am Ende der Liste ganz an den Anfang !
Dann funktionierts auch !
Kannst du mit Klick auf (e)dit einfach verschieben.
Der Rest der Liste sieht OK aus
Bitte warten ..
Mitglied: Kartan
15.12.2010 um 16:09 Uhr
Oh, mir fällt jetzt erst auf, daß ich garnicht geschrieben habe, was funktioniert und was nicht -.- (Bin schon etwas verbastelt im Kopf )

Also ... wenn ich die Temp-Route deaktiviere, funktioniert nur das Pingen in die Welt, keine Namensauflösung, kein HTTP, nix. Ich kann nichtmal die m0n0wall anpingen, geschweige denn als DNS abfragen ...

Daß die Block-Regel nach oben muss, erscheint mir logisch, aber lieber wäre es mir, wenn ich die garnicht bräuchte sondern generell nur mit den Regeln den erlaubten Verkehr von MIETER nach WAN definiere (alles undefinierte geht ja nicht).
Bitte warten ..
Mitglied: aqui
15.12.2010 um 17:13 Uhr
Das Problem ist das WAN = Internet = * ist und damit (* = alle IP Netze) matched auch natürlich Traffic in die anderen lokalen Monowall IP Segmente wenn die Block Regeln nicht gleich am Anfang stehen bei einer Regel.
Du kannst das Pferd aber auch von hinten aufzäumen und die Blockregel im Zielsegment eintragen zum Mieter Segment.
Aber auch da hast du das Problem wenn hier auch Internet Zugang erlaubt ist (also wieder * ) muss die Block Regel auch hier wieder ganz an den Anfang.
Was den Rest anbetrifft solltest du erstmal mit * * am Mieter Segment testweise alles erlauben um zu checken das du korrekte IPs bekommst und das Mono Interface Pingen kannst.
Ist das der Fall kannst du die Liste wieder aktivieren !
Ein Blick in das Firewall Log öffnet immer die Augen...denn dort wird alles mitprotokolliert und man kann genau sehen wo es kneift !
Lies dir zusätzlich die Monowall pfSense Tutorials durch hier. Im Umfang der Thread Historie findest du diverse Beispiele funktionierender FW Regeln !
Bitte warten ..
Mitglied: aqui
17.12.2010 um 21:03 Uhr
Wenns das jetzt war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (16)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

RedHat, CentOS, Fedora
gelöst Erstellen von Desktopverknüpfungen und Anpassung der Taskleiste (2)

Frage von honeybee zum Thema RedHat, CentOS, Fedora ...

Vmware
ESXI Template erstellen (2)

Frage von Phill93 zum Thema Vmware ...

Batch & Shell
Ordner erstellen ll Datei hinein kopieren (1)

Frage von heyalice zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...