Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Alias DNS-Hostnamensauflösung bei Watchguard 750e nicht dynamisch

Erfahrungsbericht Netzwerke Router & Routing

Mitglied: mandrake

mandrake (Level 1) - Jetzt verbinden

31.01.2012 um 12:03 Uhr, 7326 Aufrufe, 4 Kommentare

In Policies werden die Regeln festgelegt, wer mit wem kommunizieren darf. Für Menschen wäre es recht unübersichtlich, hier nur IPs und Ports einzutragen, daher bietet es sich an, mit so genannten Aliases zu arbeiten, mit denen man einer IP, einem Host oder auch einer IP-Range einen sprechenden Namen vergeben kann. Bei der Watchguard 750e habe ich hier allerdings eine kleine Überraschung erlebt.

Als Admin in einer mittelständischen Firma versuche ich natürlich, den Traffic möglichst klar zu definieren.
Z.B. darf auf Port 25 (SMTP) nur mit dem externen Smarthost kommuniziert werden und auch nur von diesem nehmen wir Mails an. Nun hat dummerweise dieser Smarthost (sehr zu empfehlen: http://www.antispameurope.de) einen Cluster am Start. Also mehrere IP-Adressen, die alle über den selben DNS-Namen erreicht werden.

Ich habe also an meiner Watchguard 750e (Fireware XTM v11.3.2) einen Alias "Smarthost" eingerichtet und hier den Clusternamen eingetragen. Die DNS-Auflösung funktioniert sofort und wir können unsere Mails versenden und empfangen. Bis gestern, wo das auf einmal nicht mehr reibungslos funktionierte. Sporadisch konnten Mails nicht zugestellt werden, es stellte sich heraus, dass die Firewall einfach manchmal nicht mit dem Cluster kommunizieren will. Bei einer DNS-Abfrage auf den Cluster ergab sich, dass sechs IPs benutzt werden. Die DNS-Auflösung im Alias hatte sich nicht die dynamischen IPs geholt, sondern arbeitet noch mit den ursprünglichen IPs, die beim Einrichten abgefragt worden waren. Indem ich den entsprechenden Host-Eintrag nochmals gemacht habe, kam es hier zu einem Update und die IPs passten wieder zusammen.

Fiese Falle, das. Ich habe keine Möglichkeit gefunden, eine dynamische Abfrage durch die Firewall zu erzeugen.

Vielleicht hilft Euch diese Analyse, vielleicht hat ja einer einen Tipp, wie man das umgehen kann. In den Tutorials konnte ich nichts finden.
Mitglied: Deepsys
31.01.2012 um 19:45 Uhr
Hallo Mandrake,

Das zeigt die Firebox aber, zumindest bei den Regeln, direkt an. Gibt man einen Namen an, wird dieser direkt aufgelöst und dann steht dort die IP.

Einen anderen Weg gibt es meiner Erfahrung nach nicht.
Wie sollte das auch gehen?
Dazu müsste die Firewall jedes Paket auf Port 25 zuerst auflösen, das dürfte dann recht langsam sein.

Dumm ist es aber schon.

Viele Grüße
Deepsys
Bitte warten ..
Mitglied: mandrake
31.01.2012 um 21:49 Uhr
Naja, ich könnte mir vorstellen, dass die Firebox in regelmässigen (einstellbaren) Abständen die Einträge aktualisiert, wie es der DNS-Server ja auch macht. Die IPs würden gecached und nach Ablauf der Gültigkeit erneuert. Muss ja nicht bei JEDER Abfrage passieren. Auch möglich: Aktualisierung nur z.B. bei der ersten Abfrage des Tages.
Ggf. könnte bei einer Änderung eine Trap oder Mail verschickt werden.

Aber das ist natürlich Wunschdenken.

Viele Grüsse
Mandrake
Bitte warten ..
Mitglied: Deepsys
01.02.2012 um 09:23 Uhr
Aber das ist natürlich Wunschdenken.

Oder für die nächste Version

Mich würde aber mal interessieren wie andere Firewalls das machen, weiß da wer was?

VG Deepsys
Bitte warten ..
Mitglied: Pjordorf
01.02.2012 um 14:27 Uhr
Hallo,

Zitat von mandrake:
Ggf. könnte bei einer Änderung eine Trap oder Mail verschickt werden.
Warum nicht direkt Watchgaurd fragen was die da genau und warum machen? Vielleicht ist es beabsichtigt weil . . .

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
DNS
IPv6 und dynamisches DNS (3)

Frage von ukulele-7 zum Thema DNS ...

Windows Server
gelöst Alias für DFS-Namespace setzen (3)

Frage von hagenharry zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Telekom Digitalisierungsbox mit WatchGuard Firewall (12)

Frage von demetz zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

Windows 7
Bluesreens unternehmensweit (18)

Frage von SYS64738 zum Thema Windows 7 ...

LAN, WAN, Wireless
IP Adressen - Modem - Switch - Accesspoint (17)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Festplatten, SSD, Raid
gelöst Raid-Controller (Areca) Datenverlust trotz R5 (16)

Frage von sebastian2608 zum Thema Festplatten, SSD, Raid ...