Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sinnvolle Forward Chain definieren - oder benötigt man nur Input? (Router OS bzw IPTables)

Frage Sicherheit Firewall

Mitglied: garlic

garlic (Level 1) - Jetzt verbinden

25.07.2014 um 22:21 Uhr, 1656 Aufrufe, 2 Kommentare

Moin zusammen,

ich mache hierfür einen eigenen Thread auf, weil mein "Routerproblem" gelöst ist und ich mich nun mit der Firewall beschäftige und dazu leider noch ein Mal Hilfe benötige...

Also: Ich habe in einem RouterOS im Mikrotik 750GL folgende Konfiguration:

Port 1: WAN
Port 2: Master für LAN1
Port 3-4: Switching auf Port 2
Port 5: Master für LAN2 (und einziger Port)

Internet läuft und Portscans zeigen: Ist auch "sicher". Sprich: Ich habe die Input-Regeln und NAT konfiguriert...

Meine Frage ist nun: Muss ich die Forward Chain und mit Filtern belegen? Mir ist noch nicht ganz klar, was wirklich durch die Forward-Chain gehen wird.
Klar ist - LAN zu LAN Traffic. Aber das ist okay, da brauche ich vorerst keine Regel, da darf alles durch.

Nur WAN-zu-LAN und ggf. LAN-zu-WAN und möchte ich schützen (unter natürlich WAN-ROUTER, aber das habe ich ja mit den Input-Regeln bereits getan). Nun haben wir ja NAT - muss ich also überhaupt noch auf die Forward-Chains gucken oder läuft ohnehin alles über INPUT?

Also: Wenn ich eine neue Verbindung öffne und mit einen Client auf einen Internet-Server möchte, dann gehe ich doch an den Router, der wandelt die IP, ergo müsste das über Input laufen und nicht Forward und zurück ebenso (weil der Router die Pakete bearbeitet und es kein reines Durchrouten ist)?
Wenn dem so ist, dann müsste ich mir ja über Forward-Regeln keine Gedanken machen, wenn es nur um WAN geht. Aber irgendwie ist das unlogisch, denn ganz klar ist: Droppe ich Forward, komme ich mit dem Client nichts ins Netz. Also wird dort auch eine Forward-Regel greifen (wenn dem nicht so wäre, dann müssten meine Input-Regeln auch viel zu hart sein, da keiner neue Verbindungen aufbauen könnte).

Also gehe ich davon aus, dass beim LAN-zu-WAN doch die Forward-Chain angesprochen wird aber bei WAN-zu-LAN nicht? Da nur Input?

Ihr seht - ich verstehe es einfach noch nicht ganz und mir fehlt noch so der Aha-Effekt. Leider finde ich im Netz nicht etwas, was mir das erklärt. Das scheint so einfach zu sein, dass das sonst jeder weiß :o

Vielleicht könnt ihr mich dennoch aufschlauen! Danke!

VG, Garlic
Mitglied: psannz
25.07.2014 um 23:12 Uhr
Sers,

da empfehle ich dir mal diese schönen Artikel im Mikrotik Wiki: Manual:Packet Flow und Manual:Packet Flow v6.

Simulier mit den Diagrammen mal deine LAN->LAN, WAN->LAN und LAN->WAN Verbindungen. Dann sollte vieles klarer werden.

Grüße,
Philip
Bitte warten ..
Mitglied: garlic
19.10.2014 um 19:56 Uhr
Kurzes Fazit:

Wenn man sich mit RouterOS beschäftigt, versteht man natürlich auch die Firewall immer besser und inzwischen muss ich selbst über meine Frage schmunzeln - auf der anderen Seite denke ich bis heute, es ist einfach nirgends wirklich "gut" erläutert im Sinne von einem Mehrstufen-Modell, in dem man einfach anfangen kann und sich dann in die Tiefe liest.

Zurück zum Thema für die, die auch auf diese Frage stoßen:

Inbound ist der Router-Zugriff. Sprich: Man greift direkt auf den Router zu, z.B. durch eine IP-Adresse der Router-Ports. Das kann verschiedene Gründe haben, nicht nur die Konfiguration des Routers, auch bei anderen Services landet man bei Inbound-Zugriff.
Jedoch ein klassischer Internetzugriff auf eine direkte IP-Adresse aus dem Internet, ist ein Forward. Ebenso ein direkter Zugriff auf einen Rechner, der mit im Netz hängt. Hier soll der Router ja nur "weiterleiten", also routen (wenn es nicht am Switch im gleichen Netz hängt).

Meine Frage ist also so zu beantworten: Natürlich muss man Forward für Internetzugriffe berücksichtigen. Ein Drop bei Forwardzugriffen verhindert Internetzugriff. Forward muss also mindestens für die Ports freigegeben werden, die im Internet erreicht werden sollen (HTTP, DNS usw). Ich habe allerdings bei meinen Fordward-Regeln alle Ports freigegeben, jedoch nur für ausgehende Kommunikation. Danach wäre sich ja established und die Antwort kommt auch wieder zurück.

Eine wichtige Erkenntnis für mich als "Abschluss": Wenn man das interne Netz als "sicher" einstuft, wird man sich vor allem auf das Internet konzentrieren. Ich ist die Inbound-Regel schon sehr wichtig, denn der Router maskiert/"nattet" die ausgehende Kommunikation ja. Insofern würden Angriffe auf die IP des Routers zielen, also ein Inbound, ein Zugriff auf den Router darstellen.
So erkläre ich mir zumindest viele Beispiele, da hier oft die Forward-Regeln etwas lockerer definiert waren als die Inbounds...
Bitte warten ..
Ähnliche Inhalte
Hosting & Housing
Firewall benötigt oder sinnvoll bei Webhosting-Anbieter?
Frage von staybbHosting & Housing5 Kommentare

Hallo, wir möchte eine größere Homepage umziehnen auf einen größeren Webhoster. Ein Angebot haben wir bereits zugesandt bekommen. Soweit ...

Netzwerke
Virtualisierung von Router, Firewall etc. sinnvoll?
Frage von ef8619Netzwerke4 Kommentare

Guten Abend liebe Leute, in den letzten Tagen habe ich mal etwas über SDNs gelesen und bin doch recht ...

Windows Netzwerk
Mikrotik Router OS Port forward 8888 for TCP und 8081 for TCP and UPD trafic eingeben
gelöst Frage von luka137Windows Netzwerk8 Kommentare

Hallo Experten! Habe einen Mikrotik Router OS v.5.26 und möchte für meine YAWCAM Webcam Software die Erreichbarkeit aus dem ...

Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 16 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 18 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...