Verständnisfrage zu "Rule #2"

Question

Hallo zusammen, 
 ich beobachte gerade eine (kleine) SYN-Flood-Attacke und versuche zu verstehen, wie die SG-Firewall damit umgeht bzw. wie die Datenpakete die Firewall durchlaufen und warum verschieden Sicherheitsmechanismen greifen (m&uuml;ssen). Das ist grunds&auml;tzlich hier im Forum in den " Recommended Reads > Rule #2" beschrieben, dazu jedoch folgende Fragen: 
 - " In general, a packet arriving at an interface is handled only by one of the below" Das w&uuml;rde bedeuten, das ein Paket, welches beim Country-Blocking akzeptiert wird (da das Land nicht geblockt wird), die folgenden Stationen wie IPS und FW nicht mehr durchl&auml;uft? Das kann sicher nicht richtig sein. 
 - Im IPS-Protokoll sehe ich zu der laufenden SYN-Flood-Attacke IP-Adressen aus geblockten L&auml;ndern. Wieso muss IPS &uuml;berhaupt greifen, wenn Datenpakete bereits beim Country-Blocking verworfen werden sollten? 
 Danke im voraus f&uuml;r eine kurze Kl&auml;rung!

PhilippRusch · Answer

Hallo Einer oder Eine, 
 das Ganze ist ein Missverst&auml;ndnis: es hei&szlig;t "country blocking", das bedeutet, wenn die Regel greift, wird blockiert. Sonst l&auml;sst sie das Packet "durch" (= Regel greift nicht). 
 Danach (wenn das Paket durchgelassen wurde), sind andere Mechanismes dran, die ebenfalls wieder eine Entscheidung treffen k&ouml;nnen, usw. 
 Das ist &uuml;brigens der Hauptgrund, warum man bei den "normalen" Paketfilter-Regeln ("Firewallregeln" unter "Network-Protection") nicht eine Mischung aus "Deny" und "Allow" -Regeln verwenden sollte. Dann stimmt die obige Logik auf einmal nicht mehr...