Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Mikrotik Warum muss Firewall regel deaktiviert werden, damit das Internet geht

Mitglied: Bene007

Bene007 (Level 1) - Jetzt verbinden

07.06.2012, aktualisiert 18.10.2012, 5365 Aufrufe, 8 Kommentare

Hallo zusammen,

ich habe eine frage bzgl. meines Mikrotik Routers. Besser gesagt zu den Firewalleinstellungen. Mein Ziel war es, eine Webseite über 2 Internetanschlüsse parallel und gleichzeitig zu erreichen. Das Funktioniert auch prima (wenn auch mit Einbußen des PBR, das aus mir unerfindlichen Gründen nicht geht). Jetzt zu meiner Frage.

Das hier ist der Export meiner Firewall:

01.
 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen) 
02.
     chain=spi action=accept connection-state=related  
03.
 
04.
 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden 
05.
     chain=spi action=drop connection-state=invalid  
06.
 
07.
 2   chain=forward action=jump jump-target=spi  
08.
 
09.
 3   ;;; DVBV erlauben 
10.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
11.
     dst-port=8089  
12.
 
13.
 4   ;;; Website 
14.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
15.
     dst-port=80  
16.
 
17.
 5   ;;; PPTP-Negotiation erlauben 
18.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
19.
     dst-port=1723  
20.
 
21.
 6   ;;; GRE erlauben 
22.
     chain=forward action=accept protocol=gre dst-address=192.168.1.2  
23.
 
24.
 7   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
25.
     chain=spi action=return  
26.
 
27.
 8   ;;; Alles ueberall hin vom LAN erlauben 
28.
     chain=forward action=accept in-interface=ether3  
29.
 
30.
 9   ;;; Bereits vorhandene Verbindungen akzeptieren 
31.
     chain=spi action=accept connection-state=established  
32.
 
33.
10 X ;;; Alles andere verwerfen 
34.
     chain=forward action=drop  
35.
 
36.
11   chain=input action=jump jump-target=spi  
37.
 
38.
12   ;;; Ping immer annehmen 
39.
     chain=input action=accept protocol=icmp icmp-options=8:0  
40.
 
41.
13   ;;; Alles aus dem LAN annehmen 
42.
     chain=input action=accept in-interface=ether3  
43.
 
44.
14   ;;; Alles andere verwerfen 
45.
     chain=input action=drop 
Wie man sieht ist

01.
 
02.
10 X ;;; Alles andere verwerfen 
03.
     chain=forward action=drop 
deaktiviert, da sonst keiner ins Internet kommt. Ist das jetzt schlimm für die Sicherheit, oder kann ich diese Regel deaktivieren bzw. löschen.

Vielen Dank

Mitglied: danielfr
07.06.2012 um 11:59 Uhr
Wenn Du die 10. Regel deaktivierst erlaubs Du aus der Forward Chain wieder jeden Verkehr und machst alle vorhergehenden Regeln diesbezgl. unbrauchbar. Also keine gute Idee.
Dir fehlt eine Regel die den Traffic auf Port 80 erlaubt, nicht nur auf 192.168.2.1 sondern eben auch ins Internet. Firewalls funktionieren eigentlich immer so, das zuerst alle Regeln spezifiziert werden, die Traffic erlauben, am Schluss kommt dann eine Regel die alles verbietet.
Die Regel die als erste angewendet werden kann wird auch benutzt.
Also brauchst Du noch was wie:
chain=forward action=accept protocol=tcp dst-address=0.0.0.0 dst-port=80
(ungeprüft)
und noch eine Regel die DNS erlaubt.
Bitte warten ..
Mitglied: Bene007
07.06.2012 um 15:22 Uhr
So ich habs jetzt hin bekommen.

Dein Anstoß das alle Regeln zu erst spezifiziert werden hat mich ins Grübeln gebracht und ich hab jetzt die Reihenfolge geändert (ohne etwas neues hinzuzufügen)

01.
 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen) 
02.
     chain=spi action=accept connection-state=related  
03.
 
04.
 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden 
05.
     chain=spi action=drop connection-state=invalid  
06.
 
07.
 2   chain=forward action=jump jump-target=spi  
08.
 
09.
 3   ;;; DVBV erlauben 
10.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=8089  
11.
 
12.
 4   ;;; Website 
13.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=80  
14.
 
15.
 5   ;;; PPTP-Negotiation erlauben 
16.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=1723  
17.
 
18.
 6   ;;; GRE erlauben 
19.
     chain=forward action=accept protocol=gre dst-address=192.168.1.2  
20.
 
21.
 7   ;;; Alles ueberall hin vom LAN erlauben 
22.
     chain=forward action=accept in-interface=ether3  
23.
 
24.
 8   ;;; Bereits vorhandene Verbindungen akzeptieren 
25.
     chain=spi action=accept connection-state=established  
26.
 
27.
 9   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
28.
     chain=spi action=return  
29.
 
30.
10   ;;; Alles andere verwerfen 
31.
     chain=forward action=drop  
32.
 
33.
11   chain=input action=jump jump-target=spi  
34.
 
35.
12   ;;; Ping immer annehmen 
36.
     chain=input action=accept protocol=icmp icmp-options=8:0  
37.
 
38.
13   ;;; Alles aus dem LAN annehmen 
39.
     chain=input action=accept in-interface=ether3  
40.
 
41.
14   ;;; Alles andere verwerfen 
42.
     chain=input action=drop
Jetzt ist aus ehenmaligen Regel 7 Regel 9 geworden. Ich habe

01.
;;; Zurueck, die restlichen Regeln sind Chain-spezifisch  
02.
    chain=spi action=return  
um zwei nach unten verschoben. Die Regeln sind nun alle aktiv oder? Vielen dank

ps: bzgl pbr (Policy based Routing) kennst du dich nicht aus oder?
Bitte warten ..
Mitglied: aqui
07.06.2012, aktualisiert 18.10.2012
Bitte kein Doppelposting !
Du schreibst doch hier:
http://www.administrator.de/forum/policy-based-routing-mit-mikrotik-750 ...
das das nun alles rennt mit PBR oder war das nun gelogen ??
Bitte warten ..
Mitglied: dog
07.06.2012 um 16:11 Uhr
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!
Bitte warten ..
Mitglied: Bene007
07.06.2012, aktualisiert 18.10.2012
Zitat von aqui:
Bitte kein Doppelposting !
Du schreibst doch hier:
http://www.administrator.de/forum/policy-based-routing-mit-mikrotik-750 ...
das das nun alles rennt mit PBR oder war das nun gelogen ??

Das war es nicht, man konnte aber den Server nicht über beide WAN-Adressen erreichen ;) Das geht jetzt, nun funktioniert das pbr aber nicht mehr



Zitat von dog:
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!

Dann geht aber kein Internet mehr :/
Bitte warten ..
Mitglied: aqui
13.06.2012 um 13:59 Uhr
@Bene007
Wenns das jetzt war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Bene007
13.06.2012 um 17:12 Uhr
es wars zwar jetzt nicht, aber ich hab jetzt auch aufgegeben ;) andere lösung
Bitte warten ..
Mitglied: aqui
14.06.2012 um 13:41 Uhr
Schade eigentlich, denn des funktioniert fehlerlos...normalerweise !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Firewall Regel Gästenetz Mikrotik
Frage von BoomBoomBenRouter & Routing12 Kommentare

Hi, ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt. Das Netzwerk besteht ...

Router & Routing
UAG2100 Firewall Regel
gelöst Frage von lord-iconRouter & Routing6 Kommentare

Hi, hat zufällig jm eine UAG von ZyXEL am start oder kennt sich damit tiefergründig aus ? Speziell für ...

Windows Server
Firewall Regel über GPO
gelöst Frage von Hans3003Windows Server1 Kommentar

Hallo zusammen, ich habe eine Frage zur Konfiguration einer Richtlinie auf einem Windows Server 2012R2 Ich würde gerne eine ...

Netzwerke
Hilfe bei Mikrotik L7 Firewall
Frage von SnupydooNetzwerke1 Kommentar

Hallo Leute Habe einen CCR1016-12G und habe die L7 Firewall so eingestellt das sie Youtube Sperrt , was sie ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...