Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Monowall Firewall Regel für Captive Portal

Frage Sicherheit Firewall

Mitglied: HeppeHotel

HeppeHotel (Level 1) - Jetzt verbinden

30.07.2013, aktualisiert 17:15 Uhr, 2015 Aufrufe, 20 Kommentare, 2 Danke

Hallo ihr lieben,


habe ein Problem mit meinen Firewall Regeln in der Monowall.
Habe ein Gäste LAN, ein privates LAN und ein WAN ( logisch ).
Habe die Regeln irgendwie so komplex und verwirrend aufgebaut, das ich nur zum CP umgeleitet werde, wenn ich versuche aus dem Gast Netz ins private Netz zu gelangen. Sobald ich dann das PW und den Nutzernamen eingebe, kann ich auch aus dem Gast Netz überall ins private Netz.

Kann mir jemand helfen ?
Bin schon im voraus dankbar

a111886fe50b984cdb4eb55d53f43e90 - Klicke auf das Bild, um es zu vergrößern

795575fb3f9bc3267f4edd61aec4afe5 - Klicke auf das Bild, um es zu vergrößern

d2332324d322fe023c42337ae441a6c1 - Klicke auf das Bild, um es zu vergrößern

8de23f877e5236d55236705056bc85e8 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Dani
30.07.2013 um 15:08 Uhr
Moin,
meinst du es wäre vllt. sinnvoll das Regelwerk zu posten. Andersrum was erwartest du von uns mit den Informationen die du uns gibst?!


Grüße,
Dani
Bitte warten ..
Mitglied: certifiedit.net
30.07.2013 um 15:31 Uhr
Hi @Dani,

es sind Ferien, die Sonne brennt auf dem Kopf, was erwartest du?
Bitte warten ..
Mitglied: Dani
30.07.2013, aktualisiert um 15:35 Uhr
Zitat von certifiedit.net:
es sind Ferien, die Sonne brennt auf dem Kopf, was erwartest du?
Sonne brennt? Bei uns ist es bewölkt, die Sonne lacht leicht durch die Wolken und es windet. *böseguck*

Grüße,
Dani
Bitte warten ..
Mitglied: certifiedit.net
30.07.2013, aktualisiert um 15:37 Uhr
Kennste Ironie? -> Ferien -> Sinnlose Fragen
Bitte warten ..
Mitglied: aqui
30.07.2013, aktualisiert um 16:06 Uhr
Bitte liest dir das Tutorial hier im Forum:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
ganz genau durch, das beantwortet alle deine Fragen sofort.
Speziell das Kapitel was das Firewall regel customizing anbetrifft !!

Nur so viel:
Die Reihenfolge der Regeln ist sehr wichtig hier also unbedingt auf die Logik achten. Die Regeln gelten immer nur eingehend.
Ein Basis Regelwerk sähe so aus:
  • Basisregel: Source: Gäste LAN Network, Port: any , Destination: any Dest. Port: siehe Liste
  • Als erstes solltest du DNS UDP/TCP 53 freigeben
  • Dann gibst du TCP 8000 frei (das ist wichtig, denn das ist die Portalseite !)
  • Jetzt blockst du ggf. den Zugriff aufs interne Netzwerk
  • Nun gibst du frei was deinen Gäste dürfen im Gast WLAN. In der Regel sind das die klassischen Ports:
Surfen: TCP 80 und 443
Email: TCP 25, 465, 587, 110, 995, 143, 993
VPN: TCP 1723, 1701, UDP 4500, ESP Protokoll, GRE Protokoll
Das wären so die wichtigstens Sachen was Gäste so brauchen. Je nach Bedarf kannst du dann weiteres noch aufnehmen.

Anhand deiner Beschreibung kann man davon ausgehen das du einen völlig falsche >Reihenfolge in den Regeln definiert hast. Der typische Anfängerfehler.
Beispiel:
Du gibst oben Source: Gastenetz, Destination: any frei und danach definierst du einen Blocking Liste ins private Netz.
Solcher Unsinn wird nicht funktionieren, denn für die Firewall gilt "First match wins" bedeutet: Die erste Regel die greift bewirkt das alle nachfolgenden NICHT mehr abgearbeitet werden.
Mit dem Beispiel oben kommen also auch Pakete mit der ersten Regel ins private Netz und die Blocking Regel danach wird dann nicht mehr abgearbeitet !
Richtig wäre also: Erst die Blocking Regel und dann any to any !!
In diese simple Falle bist du getappt !!!
Ordne also deine regeln in eine logisch sinnvolle reihenfolge, dann klappt das auch wunderbar !
Bitte warten ..
Mitglied: HeppeHotel
30.07.2013, aktualisiert um 16:13 Uhr
Entschuldige, ich habe meine Frage nett und höflich formuliert und habe nicht mit einer derartigen Antwort gerechnet.
Bzw hatte gehofft es sagt jemand, Regel muss lauten: Sourece->Destination->Port->Protokool. o.ä.

Wie bekomme ich hier Bilder rein ?
Bitte warten ..
Mitglied: HeppeHotel
30.07.2013 um 16:41 Uhr
Hab Screenshots von der Regel-Seite gemacht.
Meines Verständnisses nach sind sie in der richtigen Reihenfolge und es ist mir ein Rätsel warum das Portal greift wenn ich versuche ins private Netz zu kommen und nicht greift wenn ich ins Internet will
Bitte warten ..
Mitglied: aqui
30.07.2013, aktualisiert um 16:58 Uhr
Bitte verschone uns mit externen Bilderlinks. Du hast gerade per PM akribisch beschrieben bekommen wie man hier Bilder einbettet

Der Kardinalsfehler:
  • Es fehlt schlicht und ergreifend eine Blocking Regel die generell das Gast IP Netz ins Privatnetz blockt.

so einfach ist das.
Da du immer nur mit "*" also any als destination arbeitest gelten alle diese Regel für ALLE IP Zielnetze inklusive auch deinem Privaten Netz !! Logisch !
In Blöcken musst du das Regelwerk so aufbauen:
1.) Zuerst UDP/TCP 53 DNS erlauben und TCP 8000 das CP
2.) Dann erlaubst du deinen privaten Geräten an die Mac genailten IP Adressen von iPad, iPhone und Co die mit allem durch dürfen mit any any
3.) Jetzt blockst du generell Gast Netz Network auf Privat Net Network (hier bleiben Gäste hängen die auf deinen privat IP wollen aber nicht sollen)
4.) DANN erst erlaubst du Schritt für Schritt was die Gäste an Protokollen dürfen
Wenn du das so aufbaust klappt das sofort.
Und...lösche bitte alle ausgegrauten "Regelleichen" sowas schafft häufig Löcher für Unbefugte !
Bitte warten ..
Mitglied: HeppeHotel
30.07.2013 um 17:11 Uhr
Die Screenshots waren Tiff und wurden nicht von der Methode die beschrieben wurde unterstützt.
Die Blockregel ins Gästenetz ist vorhanden ( unterer Rand erstes Bild , gleich nach den genailten Durchlass Regeln )
Quasi so wie du es beschrieben hast.
Bitte warten ..
Mitglied: Dani
30.07.2013 um 17:16 Uhr
Ich hab das kurz für dich übernommen - Danke - Bitte - Gern geschehen. Somit können wir uns dem Thema wieder zuwenden.


Grüße,
Dani
Bitte warten ..
Mitglied: aqui
30.07.2013, aktualisiert um 17:22 Uhr
Wie gut das es Moderatoren gibt...
Na ja mit 3 Mausklicks im Windows bordeigenen "Paint" Programm hätte man das in effizientere JPGs wandeln können...dzzz
Wenn es schon an solchen simplen Basics scheitert wie soll das denn erst mit Firewall ACLs sein ?? Nundenn...
Die Kardinalsfehler sind ja oben schon aufgezählt.... Es bleibt also spannend...
Bitte warten ..
Mitglied: HeppeHotel
30.07.2013 um 17:23 Uhr
Ich wusste nicht das es ein derart großes Problem darstellt externe Bilder zu verlinken.
Der Aufwand schien mir kleiner als die Bilder um zu wandeln und solche Basics sind mir durchaus vertraut.
Ich bin seit meinem 12ten Lebensjahr ( seit 16 Jahren ) am Computer unterwegs und habe mit Atari angefangen, bin mir auch unschlüssig was das mit dem Thema zu tun hat ob jemand MS Paint nutzen kann oder nicht ?
Es scheint doch an der Hitze zu liegen...
Bitte warten ..
Mitglied: aqui
30.07.2013, aktualisiert um 17:27 Uhr
Das war aber jetzt im Gegensatz zu der PM weniger freundlich...
(..und auch ziemlich unverständlich wenn man seit dem 12 Lebensjahr fachkundig ist...aber egal !)
Wenden wir uns mal lieber wieder der Lösung des ganzen zu....
Bitte warten ..
Mitglied: Dani
30.07.2013, aktualisiert um 17:28 Uhr
@aqui
Na gut, von dir lass ich mich erniedrigen...

@HeppeHotel
Es hat einen guten Grund warum externe Bilder nicht erwünscht sind. Es führt dazu, dass dieser Imagehoster irgendwann die Bilder (teilweise) löscht und somit ist der Thread unvollständig und eigentlich für die Nachwelt nur noch Müll. Darum müssen die Bilder damit diese angezeigt werden in Thread hochgeladen werden. Eine Sache von 5 Minuten... Und wer wann wie mit welchen System gearbeitet hat, ist doch völlig wurst...


Grüße,
Dani
Bitte warten ..
Mitglied: aqui
30.07.2013 um 17:27 Uhr
Dani...das war ein Lob !!!
Bitte warten ..
Mitglied: HeppeHotel
30.07.2013 um 17:30 Uhr
@aqui tut mir leid, möchte mich entschuldigen, habe mich vielleicht von den Emotionen leiten lassen. Habe mich für die Berufslaufbahn des Hotelmeisters entschieden und befasse mich aber in der Freizeit sehr stark mit Computern, Servern und allem drum herum aber mein Fach ist das Hotel geworden. Umso mehr frustriert es mich ja, dass ich nicht auf den Fehler komme...

@Dani danke für die Erläuterung, jetzt ergibt es einen Sinn für mich.
Bitte warten ..
Mitglied: aqui
31.07.2013, aktualisiert um 11:53 Uhr
.@Heppe...
Wie bereits oben gesagt. Der Fehler ist offensichtlich. Fehlende Blocking Regel und Reihenfolge in der FW Regel am WLAN Interface.
Wenn du das korrigierst spielt das auf Anhieb wie es soll
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013, aktualisiert um 12:08 Uhr
Zitat von Dani:
Es hat einen guten Grund warum externe Bilder nicht erwünscht sind. Es führt dazu, dass dieser Imagehoster irgendwann
die Bilder (teilweise) löscht und somit ist der Thread unvollständig und eigentlich für die Nachwelt nur noch
Müll. Darum müssen die Bilder damit diese angezeigt werden in Thread hochgeladen werden. Eine Sache von 5 Minuten... Und
wer wann wie mit welchen System gearbeitet hat, ist doch völlig wurst...

Weiterhin ist es noch Mehraufwand für die, die helfen wollen. Es gehen neue Fenster oder Tabs auf, die einen vom aktuellen Fenster fortführen. Man muß ggf javascript/java/flash/cookies/etc. freischalten um die Bilder zu sehen, je nach hoster. Und wenn es mehrere Bilder sind hat man dann ein halbes Dutzend Tabs offen.

Kurz: Es macht den Helfern mehr Aufwand als nötig.

lks

PS. Zum Problem: Aqui hat alles wesentliche schon gesagt.
Bitte warten ..
Mitglied: HeppeHotel
02.08.2013 um 15:39 Uhr
Hab den Fehler nach langem hin und her selbst gefunden, hatte bei der DNS Regel nicht TCP / UDP sondern nur UDP angegeben.
Bitte warten ..
Mitglied: aqui
02.08.2013, aktualisiert um 16:55 Uhr
Kleine Ursache große Wirkung... !
Ein Blick in die Doku hätte das aber schnell klargemacht für dich. DNS ist für beide Protokolle spezifiziert....
http://de.wikipedia.org/wiki/Domain_Name_System
Nichtsdestotrotz ist aber auch die Reihenfolge der Regeln essentiell wichtig. Ebenso die Tatsache das die erste erfüllte Bedingung der Regeln das Abarbeiten der folgenden Regeln stoppt.
Sollte man also auch immer im Hinterkopf behalten

Wenns das denn war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
HTML
Captive Portal login Seite (2)

Frage von gansa28 zum Thema HTML ...

Netzwerkmanagement
gelöst PfSense, Captive Portal eigene mehrsprachige Templates (5)

Frage von seltsam zum Thema Netzwerkmanagement ...

Netzwerke
gelöst Weiterleitung nach Anmeldung im Captive Portal (1)

Frage von MLangHSE zum Thema Netzwerke ...

Router & Routing
PfSense - VPN-Verbindung über Captive Portal? (8)

Frage von micson zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...