Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sinnvolle Forward Chain definieren - oder benötigt man nur Input? (Router OS bzw IPTables)

Frage Sicherheit Firewall

Mitglied: garlic

garlic (Level 1) - Jetzt verbinden

25.07.2014 um 22:21 Uhr, 1623 Aufrufe, 2 Kommentare

Moin zusammen,

ich mache hierfür einen eigenen Thread auf, weil mein "Routerproblem" gelöst ist und ich mich nun mit der Firewall beschäftige und dazu leider noch ein Mal Hilfe benötige...

Also: Ich habe in einem RouterOS im Mikrotik 750GL folgende Konfiguration:

Port 1: WAN
Port 2: Master für LAN1
Port 3-4: Switching auf Port 2
Port 5: Master für LAN2 (und einziger Port)

Internet läuft und Portscans zeigen: Ist auch "sicher". Sprich: Ich habe die Input-Regeln und NAT konfiguriert...

Meine Frage ist nun: Muss ich die Forward Chain und mit Filtern belegen? Mir ist noch nicht ganz klar, was wirklich durch die Forward-Chain gehen wird.
Klar ist - LAN zu LAN Traffic. Aber das ist okay, da brauche ich vorerst keine Regel, da darf alles durch.

Nur WAN-zu-LAN und ggf. LAN-zu-WAN und möchte ich schützen (unter natürlich WAN-ROUTER, aber das habe ich ja mit den Input-Regeln bereits getan). Nun haben wir ja NAT - muss ich also überhaupt noch auf die Forward-Chains gucken oder läuft ohnehin alles über INPUT?

Also: Wenn ich eine neue Verbindung öffne und mit einen Client auf einen Internet-Server möchte, dann gehe ich doch an den Router, der wandelt die IP, ergo müsste das über Input laufen und nicht Forward und zurück ebenso (weil der Router die Pakete bearbeitet und es kein reines Durchrouten ist)?
Wenn dem so ist, dann müsste ich mir ja über Forward-Regeln keine Gedanken machen, wenn es nur um WAN geht. Aber irgendwie ist das unlogisch, denn ganz klar ist: Droppe ich Forward, komme ich mit dem Client nichts ins Netz. Also wird dort auch eine Forward-Regel greifen (wenn dem nicht so wäre, dann müssten meine Input-Regeln auch viel zu hart sein, da keiner neue Verbindungen aufbauen könnte).

Also gehe ich davon aus, dass beim LAN-zu-WAN doch die Forward-Chain angesprochen wird aber bei WAN-zu-LAN nicht? Da nur Input?

Ihr seht - ich verstehe es einfach noch nicht ganz und mir fehlt noch so der Aha-Effekt. Leider finde ich im Netz nicht etwas, was mir das erklärt. Das scheint so einfach zu sein, dass das sonst jeder weiß :o

Vielleicht könnt ihr mich dennoch aufschlauen! Danke!

VG, Garlic
Mitglied: psannz
25.07.2014 um 23:12 Uhr
Sers,

da empfehle ich dir mal diese schönen Artikel im Mikrotik Wiki: Manual:Packet Flow und Manual:Packet Flow v6.

Simulier mit den Diagrammen mal deine LAN->LAN, WAN->LAN und LAN->WAN Verbindungen. Dann sollte vieles klarer werden.

Grüße,
Philip
Bitte warten ..
Mitglied: garlic
19.10.2014 um 19:56 Uhr
Kurzes Fazit:

Wenn man sich mit RouterOS beschäftigt, versteht man natürlich auch die Firewall immer besser und inzwischen muss ich selbst über meine Frage schmunzeln - auf der anderen Seite denke ich bis heute, es ist einfach nirgends wirklich "gut" erläutert im Sinne von einem Mehrstufen-Modell, in dem man einfach anfangen kann und sich dann in die Tiefe liest.

Zurück zum Thema für die, die auch auf diese Frage stoßen:

Inbound ist der Router-Zugriff. Sprich: Man greift direkt auf den Router zu, z.B. durch eine IP-Adresse der Router-Ports. Das kann verschiedene Gründe haben, nicht nur die Konfiguration des Routers, auch bei anderen Services landet man bei Inbound-Zugriff.
Jedoch ein klassischer Internetzugriff auf eine direkte IP-Adresse aus dem Internet, ist ein Forward. Ebenso ein direkter Zugriff auf einen Rechner, der mit im Netz hängt. Hier soll der Router ja nur "weiterleiten", also routen (wenn es nicht am Switch im gleichen Netz hängt).

Meine Frage ist also so zu beantworten: Natürlich muss man Forward für Internetzugriffe berücksichtigen. Ein Drop bei Forwardzugriffen verhindert Internetzugriff. Forward muss also mindestens für die Ports freigegeben werden, die im Internet erreicht werden sollen (HTTP, DNS usw). Ich habe allerdings bei meinen Fordward-Regeln alle Ports freigegeben, jedoch nur für ausgehende Kommunikation. Danach wäre sich ja established und die Antwort kommt auch wieder zurück.

Eine wichtige Erkenntnis für mich als "Abschluss": Wenn man das interne Netz als "sicher" einstuft, wird man sich vor allem auf das Internet konzentrieren. Ich ist die Inbound-Regel schon sehr wichtig, denn der Router maskiert/"nattet" die ausgehende Kommunikation ja. Insofern würden Angriffe auf die IP des Routers zielen, also ein Inbound, ein Zugriff auf den Router darstellen.
So erkläre ich mir zumindest viele Beispiele, da hier oft die Forward-Regeln etwas lockerer definiert waren als die Inbounds...
Bitte warten ..
Ähnliche Inhalte
DNS
gelöst Komplette TLD Überschreiben bzw eigene Definieren (10)

Frage von Herbrich19 zum Thema DNS ...

Router & Routing
Zyxel DSL-Router - VPN einrichten (8)

Frage von adm999 zum Thema Router & Routing ...

Router & Routing
Mikrotik Router in Netzwerk einbinden (1)

Frage von Cyberurmel zum Thema Router & Routing ...

Netzwerkmanagement
GNS3 IOS Router downloaden (9)

Frage von WinLiCLI zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

Exchange Server
gelöst RU 17 Exchange 2010 . Erfahrungen? (10)

Frage von keine-ahnung zum Thema Exchange Server ...

Windows Server
Festplatten Ruhezustand Windows Server 2016 (10)

Frage von ahaeuser zum Thema Windows Server ...

Datenbanken
gelöst MySQL Zeiterfassungs-Problematik (wer ist eingecheckt) (9)

Frage von NativeMode zum Thema Datenbanken ...