Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sinnvolle Forward Chain definieren - oder benötigt man nur Input? (Router OS bzw IPTables)

Frage Sicherheit Firewall

Mitglied: garlic

garlic (Level 1) - Jetzt verbinden

25.07.2014 um 22:21 Uhr, 1586 Aufrufe, 2 Kommentare

Moin zusammen,

ich mache hierfür einen eigenen Thread auf, weil mein "Routerproblem" gelöst ist und ich mich nun mit der Firewall beschäftige und dazu leider noch ein Mal Hilfe benötige...

Also: Ich habe in einem RouterOS im Mikrotik 750GL folgende Konfiguration:

Port 1: WAN
Port 2: Master für LAN1
Port 3-4: Switching auf Port 2
Port 5: Master für LAN2 (und einziger Port)

Internet läuft und Portscans zeigen: Ist auch "sicher". Sprich: Ich habe die Input-Regeln und NAT konfiguriert...

Meine Frage ist nun: Muss ich die Forward Chain und mit Filtern belegen? Mir ist noch nicht ganz klar, was wirklich durch die Forward-Chain gehen wird.
Klar ist - LAN zu LAN Traffic. Aber das ist okay, da brauche ich vorerst keine Regel, da darf alles durch.

Nur WAN-zu-LAN und ggf. LAN-zu-WAN und möchte ich schützen (unter natürlich WAN-ROUTER, aber das habe ich ja mit den Input-Regeln bereits getan). Nun haben wir ja NAT - muss ich also überhaupt noch auf die Forward-Chains gucken oder läuft ohnehin alles über INPUT?

Also: Wenn ich eine neue Verbindung öffne und mit einen Client auf einen Internet-Server möchte, dann gehe ich doch an den Router, der wandelt die IP, ergo müsste das über Input laufen und nicht Forward und zurück ebenso (weil der Router die Pakete bearbeitet und es kein reines Durchrouten ist)?
Wenn dem so ist, dann müsste ich mir ja über Forward-Regeln keine Gedanken machen, wenn es nur um WAN geht. Aber irgendwie ist das unlogisch, denn ganz klar ist: Droppe ich Forward, komme ich mit dem Client nichts ins Netz. Also wird dort auch eine Forward-Regel greifen (wenn dem nicht so wäre, dann müssten meine Input-Regeln auch viel zu hart sein, da keiner neue Verbindungen aufbauen könnte).

Also gehe ich davon aus, dass beim LAN-zu-WAN doch die Forward-Chain angesprochen wird aber bei WAN-zu-LAN nicht? Da nur Input?

Ihr seht - ich verstehe es einfach noch nicht ganz und mir fehlt noch so der Aha-Effekt. Leider finde ich im Netz nicht etwas, was mir das erklärt. Das scheint so einfach zu sein, dass das sonst jeder weiß :o

Vielleicht könnt ihr mich dennoch aufschlauen! Danke!

VG, Garlic
Mitglied: psannz
25.07.2014 um 23:12 Uhr
Sers,

da empfehle ich dir mal diese schönen Artikel im Mikrotik Wiki: Manual:Packet Flow und Manual:Packet Flow v6.

Simulier mit den Diagrammen mal deine LAN->LAN, WAN->LAN und LAN->WAN Verbindungen. Dann sollte vieles klarer werden.

Grüße,
Philip
Bitte warten ..
Mitglied: garlic
19.10.2014 um 19:56 Uhr
Kurzes Fazit:

Wenn man sich mit RouterOS beschäftigt, versteht man natürlich auch die Firewall immer besser und inzwischen muss ich selbst über meine Frage schmunzeln - auf der anderen Seite denke ich bis heute, es ist einfach nirgends wirklich "gut" erläutert im Sinne von einem Mehrstufen-Modell, in dem man einfach anfangen kann und sich dann in die Tiefe liest.

Zurück zum Thema für die, die auch auf diese Frage stoßen:

Inbound ist der Router-Zugriff. Sprich: Man greift direkt auf den Router zu, z.B. durch eine IP-Adresse der Router-Ports. Das kann verschiedene Gründe haben, nicht nur die Konfiguration des Routers, auch bei anderen Services landet man bei Inbound-Zugriff.
Jedoch ein klassischer Internetzugriff auf eine direkte IP-Adresse aus dem Internet, ist ein Forward. Ebenso ein direkter Zugriff auf einen Rechner, der mit im Netz hängt. Hier soll der Router ja nur "weiterleiten", also routen (wenn es nicht am Switch im gleichen Netz hängt).

Meine Frage ist also so zu beantworten: Natürlich muss man Forward für Internetzugriffe berücksichtigen. Ein Drop bei Forwardzugriffen verhindert Internetzugriff. Forward muss also mindestens für die Ports freigegeben werden, die im Internet erreicht werden sollen (HTTP, DNS usw). Ich habe allerdings bei meinen Fordward-Regeln alle Ports freigegeben, jedoch nur für ausgehende Kommunikation. Danach wäre sich ja established und die Antwort kommt auch wieder zurück.

Eine wichtige Erkenntnis für mich als "Abschluss": Wenn man das interne Netz als "sicher" einstuft, wird man sich vor allem auf das Internet konzentrieren. Ich ist die Inbound-Regel schon sehr wichtig, denn der Router maskiert/"nattet" die ausgehende Kommunikation ja. Insofern würden Angriffe auf die IP des Routers zielen, also ein Inbound, ein Zugriff auf den Router darstellen.
So erkläre ich mir zumindest viele Beispiele, da hier oft die Forward-Regeln etwas lockerer definiert waren als die Inbounds...
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Firewall
gelöst Hardware Firewall vs. Router OS (3)

Frage von PharIT zum Thema Firewall ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...

Festplatten, SSD, Raid
Prüfung von HDDs - ohne installiertes OS (11)

Frage von quattroM-Techniker zum Thema Festplatten, SSD, Raid ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...