7
Verschiedene Ports und Dienste policy-based über drei DSL-Leitungen routen
Hallo zusammen, bin neu hier, habe natürlich schon gesucht und obwohl mein Thema nicht wirklich aussergewöhnlich ist, hätte ich gern Eure spezielle Einschätzung dazu.
Ich richte in der Firma gerade eine neue Firewall ein. Wir sind eine Werbeagentur und die Policy der Geschäftsführung ist "Ihr arbeitet alle lange und auch viel, deswegen wollen wir Euch nicht in Eurem Surfverhalten einschränken, solange die Selbstdisziplin greift und der Job nicht drunter leidet" - soll heissen, auf unserer vorigen Firewall waren alle ausgehenden Ports und Dienste zugelassen.
Da ich nun der Admin bin und mir schon so oft anhören musste "warum ist das Internet gerade wieder soooo langsam?" und ich genau weiss, dass es so ist weil einige wieder meinen Streamen oder sonst was zu müssen. Da ich aber die eindeutige Ansage der GF habe, dieses nicht zu kontrollieren und auch nicht zu unterbinden, bin ich natürlich in einer besch...nen Lage.
Nun bekommen wir aber eine neue Watchguard und ich habe die Möglichkeit, gleich von Anfang an das Teil nach meinen Vorstellungen einzurichten.
Zum Hintergrund: wir haben bis jetzt lediglich eine 4MBit SDSL für all unseren Traffic. Mit der neuen Watchguard haben wir ausserdem eine VDSL50 und eine 16MBit Leitung dazu bekommen, also insgesamt 3 Leitungen.
Meine Idee ist nun, um unserer Firmenvorgabe zu folgen, den Traffic einfach Policy-based über die verschiedenen DSL-Leitungen zu routen.
Wie soll das aussehen? So:
1. Die 4MBit SDSL soll weiterhin die Hauptleitung für "geschäftlichen" Traffic sein, darunter FTP, VPN, Mail.
2. Die VDSL50 Leitung soll die "dicke" Leitung für das ganz normale Surfen sein
3. Die 16MBit Leitung soll für allen Privatkram bereitstehen
So habe ich sichergestellt, dass alle immer noch alles machen können, aber eben der wichtige Traffic immer seine priorisierte Leitung hat und mit dem Privatkram nicht in Konflikt gerät.
Jetzt muss ich natürlich eingrenzen "was ist wichtig und was ist privat".
Wie gesagt, richtig sperren wollen wir erstmal keinen outgoing Traffic, aber ich habe jetzt ja die Möglichkeit, alle Dinge wie Streaming, Games, Filesharing etc. etc. einfach auf die 16MBit zu legen und wenn es da dann zu langsam wird, muss der Rest der Firma nicht drunter leiden.
Könnt Ihr mir sagen, welche Ports und Dienste Ihr zu den "privaten" zählen und auf die 16MBit legen würdet?
Klar, sowas wie Port 80 wird über die VDSL50 laufen müssen und wenn dort ein Streaming-Dienst Port 80 nutzt, dann ist das eben so, weiter eingrenzen möchte ich das -erstmal- nicht. Aber alles was nach eindeutigen Ports aufzuschlüsseln ist (und was nicht zu "geschäftlich" zu zählen ist), würde ich gern auf die 16MBit legen.
Oder gibt es sogar eine Liste mit "guten" und "bösen" Ports und den Diensten die diese Ports benutzen?
Vielen Dank schon einmal für Eure Antworten!
Da ich nun der Admin bin und mir schon so oft anhören musste "warum ist das Internet gerade wieder soooo langsam?" und ich genau weiss, dass es so ist weil einige wieder meinen Streamen oder sonst was zu müssen. Da ich aber die eindeutige Ansage der GF habe, dieses nicht zu kontrollieren und auch nicht zu unterbinden, bin ich natürlich in einer besch...nen Lage.
Nun bekommen wir aber eine neue Watchguard und ich habe die Möglichkeit, gleich von Anfang an das Teil nach meinen Vorstellungen einzurichten.
Zum Hintergrund: wir haben bis jetzt lediglich eine 4MBit SDSL für all unseren Traffic. Mit der neuen Watchguard haben wir ausserdem eine VDSL50 und eine 16MBit Leitung dazu bekommen, also insgesamt 3 Leitungen.
Meine Idee ist nun, um unserer Firmenvorgabe zu folgen, den Traffic einfach Policy-based über die verschiedenen DSL-Leitungen zu routen.
Wie soll das aussehen? So:
1. Die 4MBit SDSL soll weiterhin die Hauptleitung für "geschäftlichen" Traffic sein, darunter FTP, VPN, Mail.
2. Die VDSL50 Leitung soll die "dicke" Leitung für das ganz normale Surfen sein
3. Die 16MBit Leitung soll für allen Privatkram bereitstehen
So habe ich sichergestellt, dass alle immer noch alles machen können, aber eben der wichtige Traffic immer seine priorisierte Leitung hat und mit dem Privatkram nicht in Konflikt gerät.
Jetzt muss ich natürlich eingrenzen "was ist wichtig und was ist privat".
Wie gesagt, richtig sperren wollen wir erstmal keinen outgoing Traffic, aber ich habe jetzt ja die Möglichkeit, alle Dinge wie Streaming, Games, Filesharing etc. etc. einfach auf die 16MBit zu legen und wenn es da dann zu langsam wird, muss der Rest der Firma nicht drunter leiden.
Könnt Ihr mir sagen, welche Ports und Dienste Ihr zu den "privaten" zählen und auf die 16MBit legen würdet?
Klar, sowas wie Port 80 wird über die VDSL50 laufen müssen und wenn dort ein Streaming-Dienst Port 80 nutzt, dann ist das eben so, weiter eingrenzen möchte ich das -erstmal- nicht. Aber alles was nach eindeutigen Ports aufzuschlüsseln ist (und was nicht zu "geschäftlich" zu zählen ist), würde ich gern auf die 16MBit legen.
Oder gibt es sogar eine Liste mit "guten" und "bösen" Ports und den Diensten die diese Ports benutzen?
Vielen Dank schon einmal für Eure Antworten!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163415
Url: https://administrator.de/contentid/163415
Printed on: April 24, 2024 at 15:04 o'clock
7 Comments
Latest comment
Ähm mom entweder kann ich grad nicht lesen Du willst das alles über Ports Regeln ähm kannste glaube Vergessen sage nur POP3 & Imap woher soll WG wissen wann er welchen Port wohin Routen möchte?
Also das wird so nix werden Sorry!
An deiner Stelle würde ich es so Probieren das Du erstmal eine Liste von WG tracken lässt wohin die Leute überhaupt surfen das könnte eher Funktionieren um dann WG so zu routen wenn Anfrage A nicht in die 4 MBit Leitung soll sondern in die dafür Vorgensehende.
Oder Versuchst es so das sie einen Proxy bekommen wo Sie dann hin und her schalten müssen gibs für FF als Addon. Dann müsste jeder eine Selbstverpflichtungserklärung unterschreiben wo alles geregelt ist wann auf welchen Proxy umzuschalten ist.
Oder wenn WG es kann mit Gruppen zu Ordnungen zu arbeiten wobei das auch ziemlich fricklig ist bei über Millionen von Websites.
Oder WG so machen das er weiß das wenn eine Gewisse Adresse gewählt wird diese Automatisch auf die Geschäftsleitung geht würde auch gehen und wäre weniger Arbeit.
So sollte ich jetzt nen Denkfehler haben bitte sagt es mir!
Mit den besten Grüßen
Sendmen
Also das wird so nix werden Sorry!
An deiner Stelle würde ich es so Probieren das Du erstmal eine Liste von WG tracken lässt wohin die Leute überhaupt surfen das könnte eher Funktionieren um dann WG so zu routen wenn Anfrage A nicht in die 4 MBit Leitung soll sondern in die dafür Vorgensehende.
Oder Versuchst es so das sie einen Proxy bekommen wo Sie dann hin und her schalten müssen gibs für FF als Addon. Dann müsste jeder eine Selbstverpflichtungserklärung unterschreiben wo alles geregelt ist wann auf welchen Proxy umzuschalten ist.
Oder wenn WG es kann mit Gruppen zu Ordnungen zu arbeiten wobei das auch ziemlich fricklig ist bei über Millionen von Websites.
Oder WG so machen das er weiß das wenn eine Gewisse Adresse gewählt wird diese Automatisch auf die Geschäftsleitung geht würde auch gehen und wäre weniger Arbeit.
So sollte ich jetzt nen Denkfehler haben bitte sagt es mir!
Mit den besten Grüßen
Sendmen
Nene, dass sollte schon klappen - mal am Beispiel FTP (Port 21):
Es ist doch kein Problem der WG zu sagen, alles was vom internen LAN auf Port 21 nach draussen möchte, wird automatisch nur über die Schnittstelle der 4MBit geroutet - genau das ist doch policy-based Routing, oder liege ich da jetzt falsch?
Genauso kann ich das ja auch mit allen anderen Ports machen. Und genau dafür bin ich auf der Suche nach den Diensten, die spezielle Ports nutzen und die ich dann auf von mir festgelegte DSL-Leitungen routen kann.
Wie geschrieben, bei allem was Port 80 nutzt wird das natürlich schwierig, aber wenn ich alle anderen "privaten" Ports so leiten kann wie ich das möchte, würde mir das erstmal reichen.
Es ist doch kein Problem der WG zu sagen, alles was vom internen LAN auf Port 21 nach draussen möchte, wird automatisch nur über die Schnittstelle der 4MBit geroutet - genau das ist doch policy-based Routing, oder liege ich da jetzt falsch?
Genauso kann ich das ja auch mit allen anderen Ports machen. Und genau dafür bin ich auf der Suche nach den Diensten, die spezielle Ports nutzen und die ich dann auf von mir festgelegte DSL-Leitungen routen kann.
Wie geschrieben, bei allem was Port 80 nutzt wird das natürlich schwierig, aber wenn ich alle anderen "privaten" Ports so leiten kann wie ich das möchte, würde mir das erstmal reichen.
Zitat von @chosen1:
Nene, dass sollte schon klappen - mal am Beispiel FTP (Port 21):
Es ist doch kein Problem der WG zu sagen, alles was vom internen LAN auf Port 21 nach draussen möchte, wird automatisch nur
über die Schnittstelle der 4MBit geroutet - genau das ist doch policy-based Routing, oder liege ich da jetzt falsch?
Nene, dass sollte schon klappen - mal am Beispiel FTP (Port 21):
Es ist doch kein Problem der WG zu sagen, alles was vom internen LAN auf Port 21 nach draussen möchte, wird automatisch nur
über die Schnittstelle der 4MBit geroutet - genau das ist doch policy-based Routing, oder liege ich da jetzt falsch?
Grundsätzlich liegst Du schon richtig, was PBR angeht. FTP ist jedoch ein schlechtes Beispiel, da hier nicht nur Port 21 ausgehend benutzt wird, sondern noch eine zweite Verbindung aufgebaut wird.
Zitat von @chosen1:
Klar, sowas wie Port 80 wird über die VDSL50 laufen müssen und wenn dort ein Streaming-Dienst Port 80 nutzt, dann ist
das eben so, weiter eingrenzen möchte ich das -erstmal- nicht. Aber alles was nach eindeutigen Ports aufzuschlüsseln ist
(und was nicht zu "geschäftlich" zu zählen ist), würde ich gern auf die 16MBit legen.
Klar, sowas wie Port 80 wird über die VDSL50 laufen müssen und wenn dort ein Streaming-Dienst Port 80 nutzt, dann ist
das eben so, weiter eingrenzen möchte ich das -erstmal- nicht. Aber alles was nach eindeutigen Ports aufzuschlüsseln ist
(und was nicht zu "geschäftlich" zu zählen ist), würde ich gern auf die 16MBit legen.
Die meisten modernen UTM-Firewalls können in gewissen Grenzen durchaus unabhängig von den verwendeten Ports die darüber transportierten Anwendungsdaten klassifizieren. Bei einer Zywall USG könntest Du z.B. mittels "Application Patrol" feststellen, ob über Port 80 ein Streaming oder z.B. ein Facebook-Aufruf erfolgt und abhängig vom Ergebnis diesem Traffic mit einem DSCP-Wert markieren. Auf diesen DSCP-Wert könnte man dann beim Policy-Routing abstellen und den Traffic über unterschiedliche Leitungen schieben. Inwiefern die WG vergleichbares bietet, entzieht sich jedoch meiner Kenntnis.
Gruß
sk
Ok FTP war ein schlechtes Beispiel, aber das Prinzip wie ich es meine wurde klar.
Wenn ich nachher auch auf Port 80 die Streaming-Täter ausfiltern könnte, wäre das natürlich super - zumindest bietet WG etwas was sich "Application Control" nennt: http://www.watchguard.com/products/xtm-5/options-upgrades.asp . Da wir aber nichts wirklich sperren wollen, wäre es interessant, ob WG die Möglichkeit bietet die Übeltäter über Port 80 im Falle einer Identifizierung auch umzuleiten auf eine andere Leitung, oder ob man dann dort nur sperren kann.
Wenn ich nachher auch auf Port 80 die Streaming-Täter ausfiltern könnte, wäre das natürlich super - zumindest bietet WG etwas was sich "Application Control" nennt: http://www.watchguard.com/products/xtm-5/options-upgrades.asp . Da wir aber nichts wirklich sperren wollen, wäre es interessant, ob WG die Möglichkeit bietet die Übeltäter über Port 80 im Falle einer Identifizierung auch umzuleiten auf eine andere Leitung, oder ob man dann dort nur sperren kann.
Zitat von @chosen1:
Da wir aber nichts wirklich sperren wollen, wäre es interessant, ob WG die Möglichkeit bietet die Übeltäter
über Port 80 im Falle einer Identifizierung auch umzuleiten auf eine andere Leitung, oder ob man dann dort nur sperren kann.
Man kann den Traffic bestimmt wie von mir oben für die USG beschrieben "labeln".Da wir aber nichts wirklich sperren wollen, wäre es interessant, ob WG die Möglichkeit bietet die Übeltäter
über Port 80 im Falle einer Identifizierung auch umzuleiten auf eine andere Leitung, oder ob man dann dort nur sperren kann.
"Versuuuch macht kluuuch": Es scheint eine 30 Tage Testlizenz zu geben. Siehe http://www.watchguard.com/docs/brochure/wg_application-control_ds_de.pd ... (ganz unten).
Gruß
sk
Jo, werde das die Tage alles durchtesten - hab auch einfach mal alle Add-Ons mitgekauft 
Danke!
Trotzdem wäre es super, wenn Ihr zu der eigentlichen Frage meines Posts noch eine Antwort hättet: Welche Ports/Dienste kann man als Privat bezeichnen und niedriger priorisieren?
Danke!
Trotzdem wäre es super, wenn Ihr zu der eigentlichen Frage meines Posts noch eine Antwort hättet: Welche Ports/Dienste kann man als Privat bezeichnen und niedriger priorisieren?
Zitat von @chosen1:
Trotzdem wäre es super, wenn Ihr zu der eigentlichen Frage meines Posts noch eine Antwort hättet: Welche Ports/Dienste kann man als Privat bezeichnen und niedriger priorisieren?
Trotzdem wäre es super, wenn Ihr zu der eigentlichen Frage meines Posts noch eine Antwort hättet: Welche Ports/Dienste kann man als Privat bezeichnen und niedriger priorisieren?
Das könnt Ihr letztlich nur selbst beantworten, da es eine Frage nach den EIGENEN Prioritäten ist.
Meines Erachtens stellt sich die Frage ohnehin nicht auf diese Weise, denn alles Unbekannte wirst Du auf eine Default-Leitung schicken (vermutlich den 16MBit/s-Anschluß) und lediglich all das, was geschäftlich oder von Bedeutung ist, aktiv auf die anderen beiden Leitungen verlegen. Insofern ist die Frage nicht, was unwichtig bzw. privat, sondern was wichtig bzw. geschäftlich ist. Und diese Frage müsst Ihr schon selbst beantworten. Vermutlich beantwortet sie sich sogar im laufenden Betrieb von ganz alleine bzw. Deine User werden Dir die Frage schon mit Nachdruck beantworten...
Gruß
sk
