Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 2542 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Paketfilter greift nicht

millamare X
Hallo zusammen,

gerade bin ich auf eine seltsame Situation gestoßen:

-> Ich wollte vom Internen Netz über die Astaro ins Externe Netz den Router anpingen.

Statt die paar Häkchen auszuwählen, die unter Netzwerksicherheit - ICMP zu finden sind, habe ich unter "Generic Proxy" eine Regel erstellt um Pings weiterzuleiten. So weit so gut, das hat schon mal geklappt - Router wurde erreicht.

Dann habe ich - einfach mal zum experimentieren - eine Paketfilter-Regel erstellt, dass die Ping-Pakete geblockt bzw. verworfen werden sollen. Die Regel stand auch an erster Stelle, war aktiv geschalten, etc.

Somit hätte die Regel ja greifen sollen, und den Ping blocken bzw. verwerfen sollen.

-> Trotzdem ging der Ping erfolgreich zum Router hindurch!

Nun meine Frage(n):

- Wieso greift die Paketfilter-Regel nicht?
- Wo liegt da der Fehler? Greift der Paketfilter nicht überall sondern nur bei einer bestimmten Konfiguration?
- Und wie würde man das ganze geschickter Lösen?

Gruß & Dank :-)


This thread was automatically locked due to age.
  • 0
    Hallo Iced_Earth,

    ich versuche mal eine allgemeine Antwort:
    In der Regel kannst Du Deine Anforderungen auf 2 Arten lösen:
    1. Wenn es einen Proxy dafür gibt, kannst Du alles dort einrichten
    2. Andernfalls löst Du es über PacketFilter Regeln.

    Bei den Proxys hat Astaro schon einiges an Gehirnschmalz reingesteckt, um alle zugehörigen Abhängigkeiten zu lösen. Also würde ich diese i.d.R. bevorzug benutzen.

    WENN man aber einen der Proxys benutzt, werden "unter der Haube" die passenden IPTABLES-Regeln gesetzt. Und die kommen VOR den Packetfilter-Regeln.
    Daher greift Deine Regel nicht mehr. Das gilt auch beim Einsatz der "ICMP-Häckchen".
    Wenn Du also unbedingt was im PacketFilterLog sehen willst, musst Du die GenericProxy-Regel deaktivieren sowie die ICMP-Settings deaktivieren.
    Ich würde es an Deiner Stelle über die ICMP-Parameter lösen, und wenn Du es wirklich noch feiner brauchst, nimm die PacketFilter Regeln.

    Grüsse, Karsten
  • 0 in reply to KKnecht
    Hallo KKnecht,

    das hast du wirklich schön erklärt, ich danke dir [:)]
    -> Frage somit beantwortet

    Gruß & Dank
  • 0 in reply to millamare X
    Hi,

    ich denke du kannst sogar auf den GP zum Pingen deines Routers verzichten. Eine PFR sollte genügen. Wenn sie aktiv ist, dann kannst du ihn pingen, ist sie aus, dann ist der Ping nciht mehr möglich. Würde sich für tracert genauso verhalten...
    --
    MfG, Steffen
  • 0 in reply to trialrider
    Genau das habe ich lange getestet... NUR durch eine Paketfilterregel den Ping durchzulassen hat leider nicht funktioniert, nur durch das "Häkchen" setzen ODER über den Generic Proxy. Wenn du dir aber dir anderen Threats von mir durchliest wirst du feststellen dass ich generell mit den Paketfilterregeln zu kämpfen habe, die bei mir einfach nicht greifen, und die Astaro dahingehend eher das tut was sie will, und nicht was ich will....

    Vielleicht hast du ja noch ein paar Tips für meine anderen Threats/Probleme, ich glaube fast das hängt alles irgendwie zusammen...

    Trotzdem Danke soweit, ich werds' mir merken :-)
Unfiltered HTML