Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

M0n0wall Regeln erstellen - Wie?

Frage Netzwerke

Mitglied: Kartan

Kartan (Level 1) - Jetzt verbinden

15.12.2010 um 14:56 Uhr, 5656 Aufrufe, 4 Kommentare

Gegeben ist ein x86-System mit vier Netzwerkkarten und m0n0wall auf 'ner CF-Karte. Wie die Firewall-Regeln in der Theorie aussehen sollen, ist mir auch klar - nur funktioniert es in der Praxis nicht.

Hallo zusammen,

Ich beschäftige mich seit geraumer Zeit mit der m0n0wall (http://m0n0.ch) und finde diese Softwarelösung für heimische Netze und kleine Firmen eigentlich ganz elegant, bringt sie doch einen gewaltigen Funktionsumfang mit, den sonst teilweise nur die großen Enterprise-Büchsen von Juniper oder Cisco bieten.

Zusammengeschraubt und Grundinstalliert ist die Kiste auch - sprich, die NICs sind soweit richtig bezeichnet, mit ihren Netzen versehen etc.

Die Basisregel zwischen INT und * passt auch soweit, von meinem Netz möchte ich vorerst ins * alles dürfen (schließlich bin ich hier der Admin ^^).

Dazu existieren zwei weitere Interfaces: DMZ (wie der Name schon sagt - da soll irgendwann mal ein Webserver/Proxy und evtl. ein Mailrelay drinnestehen), aber die DMZ ist vorerst nicht so wichtig. Wichtiger ist ein Interface, wo eine weitere Wohnung hier im Hause angeschlossen ist, deren Bewohner allerdings nicht alles können sollen:

Vom MIETER-Iface zum WAN soll folgendes funktionieren:

Ping
HTTP
HTTPS
SMTP
POP3
IMAP
IRC (6667-6669)

sowie die DNS-Requests an die m0n0wall selbst.

Alles andere soll geblockt werden, vor allem der Verkehr in das INT-Netz (sprich mein eigenes Netz) möchte ich zuverlässig unterbinden.

Nun habe ich schon den ganzen gestrigen Tag und den heutigen Vormittag gelesen, gebastelt, ausprobiert etc., aber noch keine funktionierende Lösung hinbekommen (das Experimentier-Schlachtfeld packe ich mal als Screenshot hierher).

2d212c1fd75730a9fd78d17b5f7169b0 - Klicke auf das Bild, um es zu vergrößern

Mit der "Temp-Rule" komme ich natürlich prima ins Web, aber dummerweise auch überall in die anderen Netze ...

Vielleicht mag mir ja jemand dabei helfen, würde mich freuen (Bin zwar selbst Informatiker, aber auf diesem Gebiet schraube ich einfach zu selten -.-).

Vielen Dank
der Kartan
Mitglied: aqui
15.12.2010 um 15:27 Uhr
Bei einer Firewall Regel gilt immer :"First match wins...." !!!
Folglich muss deine Blocking Regel am Ende der Liste ganz an den Anfang !
Dann funktionierts auch !
Kannst du mit Klick auf (e)dit einfach verschieben.
Der Rest der Liste sieht OK aus
Bitte warten ..
Mitglied: Kartan
15.12.2010 um 16:09 Uhr
Oh, mir fällt jetzt erst auf, daß ich garnicht geschrieben habe, was funktioniert und was nicht -.- (Bin schon etwas verbastelt im Kopf )

Also ... wenn ich die Temp-Route deaktiviere, funktioniert nur das Pingen in die Welt, keine Namensauflösung, kein HTTP, nix. Ich kann nichtmal die m0n0wall anpingen, geschweige denn als DNS abfragen ...

Daß die Block-Regel nach oben muss, erscheint mir logisch, aber lieber wäre es mir, wenn ich die garnicht bräuchte sondern generell nur mit den Regeln den erlaubten Verkehr von MIETER nach WAN definiere (alles undefinierte geht ja nicht).
Bitte warten ..
Mitglied: aqui
15.12.2010 um 17:13 Uhr
Das Problem ist das WAN = Internet = * ist und damit (* = alle IP Netze) matched auch natürlich Traffic in die anderen lokalen Monowall IP Segmente wenn die Block Regeln nicht gleich am Anfang stehen bei einer Regel.
Du kannst das Pferd aber auch von hinten aufzäumen und die Blockregel im Zielsegment eintragen zum Mieter Segment.
Aber auch da hast du das Problem wenn hier auch Internet Zugang erlaubt ist (also wieder * ) muss die Block Regel auch hier wieder ganz an den Anfang.
Was den Rest anbetrifft solltest du erstmal mit * * am Mieter Segment testweise alles erlauben um zu checken das du korrekte IPs bekommst und das Mono Interface Pingen kannst.
Ist das der Fall kannst du die Liste wieder aktivieren !
Ein Blick in das Firewall Log öffnet immer die Augen...denn dort wird alles mitprotokolliert und man kann genau sehen wo es kneift !
Lies dir zusätzlich die Monowall pfSense Tutorials durch hier. Im Umfang der Thread Historie findest du diverse Beispiele funktionierender FW Regeln !
Bitte warten ..
Mitglied: aqui
17.12.2010 um 21:03 Uhr
Wenns das jetzt war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
M0n0wall alternative
Frage von homermgLAN, WAN, Wireless4 Kommentare

Hey Leute, ich suche eine gute M0n0wall alternative, habe vor einigerzeit gelesen das da was gibt was sogar wie ...

Outlook & Mail
Outlook Regeln
Frage von SchauerOutlook & Mail9 Kommentare

Hallo werte Kollegen, ich stehe vor einer, wohl belächelten Aufgabe, derer ich nicht Herr werde. Szenario: Der Empfang bekommt ...

Rechtliche Fragen
Dateifreigaben regeln
Frage von Thor01Rechtliche Fragen8 Kommentare

Hallo, wie regelt ihr eure Dateifreigaben? Wie läuft es bei euch ab wenn euer Chef zu euch kommt und ...

LAN, WAN, Wireless
Router mit PfSense oder M0n0wall
gelöst Frage von SIPSIPLAN, WAN, Wireless7 Kommentare

Hallo zusammen Ich soll eine kostengünstige Variante suchen um bei uns ein Gast WLAN einzurichten. Den tollen und sehr ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 13 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 14 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 22 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server15 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...