Generelles Sperren von IP-Ranges Inbound

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Generelles Sperren von IP-Ranges Inbound

      Hallo Zusammen,

      ich habe jetzt nur einiges auf den Kopf gestellt und Foren durchsucht.

      Leider habe ich aber keine Lösung für folgendes Szenario gefunden:
      Ich möchte eine gewisse IP-Range in der Efw für den Zugriff auf alle Interfaces sperren.
      Sprich: Kommt eine Anfrage am roten IF der Endian an und stammt aus einer bestimmten IP-Range, so
      soll dieser Zugriff geblockt werden und keine Weiterleitung an irgendein anderes IF erfolgen.

      Also eigentlich eine Standardaufgabe einer Firewall. Nur irgendwie finde ich keine Einstellung dafür.

      Kann mir jemand einen Tipp geben, wo ich noch suchen könnte, um dieses Problem zu lösen?

      Vielen Dank

      Uziel
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hey Uziel

      ICh nehme mal an das du solche IpRanges sperren willst z.B. 112.15.x.x : 123.95.x.x ?

      Also die frage hab ich mir auch schon gestellt und meine auch gelesen zu haben das es nicht geht.

      Was funktioniert aber aufwendig ist, ist das Sperren der ganzen Adressbereiche z.B. 112.15.0.0/16 , 112.16.0.0/16 , 112.17.0.0/16 ... ... 112.95.0.0/16.
      Alles was sich jetzt jeweils in diesen Netzen befindet wird gesperrt. Ist zwar ein bisschen aufwendig aber hilf.

      Gruß BossBort
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo BossBort,

      das Umsetzen der Ranges in Subnetze, bzw. das bestimmen der Masken, ist nicht das Problem.
      Im Gegenteil, die habe ich sogar. Nur wie kann ich die Sperren?

      Unter dem Punkt Firewall habe ich ja lediglich die NAT-Option. Die bringt mich nicht weiter.
      Eine Systemregel beschränkt ja lediglich den Zugriff auf die efw selber.

      Also wo und wie müsste ich denn diese Einstellung vornehmen?
      Es handelt sich um die efw 2.2.rc3.


      Besten Dank für Deine Hilfe.


      Gruß

      Uziel
    • Re: Generelles Sperren von IP-Ranges Inbound

      Wie du hast unter Firewall nur die NAT Option?^^

      Also die Einstellungen die du vornehmen willst müssen ja unter Systemzugriff erfolgen. Ist ja ganz klar, weil ein Weg von außen nur über die Endian FW erfolgen kann/soll.



      edit: Ich seh gerade bei Quellschnittstelle muss dann natürlich auch ROT ausgewählt werden ;)

      Gruß BossBort
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo BossBort,

      mein Satz war so gemeint, daß ich ausser der NAT und den Systemregeln keinen Punkt dort habe, der mir sinnig erscheint. ;)
      Sorry für die unklare Formulierung.

      Die Systemregel hatte ich auch schon für die Umsetzung ausgemacht. Ein Test mit einer externen IP eines anderen Servers ergab aber keine
      positives Ergebnis.

      Ich hänge mal einen Screenshot der gemachten Einstellung an. Trotz Eintrag der IP, egal ob einzelne IP oder als "Netzwerk" mit /32 unter Ablehnung sämtlicher Dienste kann ich ohne Probleme von der "geblockten" IP auf alle Server, bzw. hinter der efw zugreifen. Sämtliche Server und Dienste befinden sich am IF Green und nicht in der DMZ.


      Gruß

      Uziel

      Bilder
      • screen_efw.gif

        21,98 kB, 978×624, 218 mal angesehen
    • Re: Generelles Sperren von IP-Ranges Inbound

      Also du versuchst mit externen Server mit der IP 81.X.X.X /32 auf dein Endian System zuzugreifen. Das klappt obwohl es nicht soll.
      Also ich habs selbst gestern bei uns im Netz gestestet und da hat es funktioniert. Aber ich kann ja nochmal schauen was ich anders gemacht habe. Es sah aber im Prinzip so aus wie deine Konfiguration. Ich bin dann im Endeffekt soweit gegangen, dass ich mich selbst über die FW-Regeln ausgesperrt hatte. Hab anstelle der roten Quellschnittstelle, Alle gewählt und schwubs war ich komplett raus. Konnte dann die Konfig nur über die Shell der Endian rückgängig machen. Also nur mal um zu zeigen das es wirklich Funtioniert hat :)

      Ich schau nochmal nach ;)

      EDIT: Hab vergessen was du denn vom externen Server alles probiert hat.? Hast du nur nen ganz normalen Ping probiert oder versucht dich über SSH einzuwählen.

      Gruß BossBort
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo BossBort,

      nein, auf die efw selber kann nicht zugegriffen werden, zumindest nicht auf die von der efw bereitgestellten Konfigurationsmöglichkeiten (Web, SSH).
      Das ist also in Ordnung.

      Ich skizziere mal, damit es deutlicher wird:

      0.0.0.0
      |
      efw
      / | \
      srv1 srv2 srv3

      Sämtliche Server (srvX) hängen am grünen IF der efw. Die efw verwaltet einen ganzen Schwung öffentlicher IPs und je nach angefragter IP und / oder Service
      leitet die efw dann die Anfrage per NAT auf den entsprechenden Server weiter.

      Beispiel: Webseitenaufruf der URL example.com landet auf der efw. Die efw leitet dann entsprechend der IP von example.com und dem Service (http) auf den Port 80 vom srv2 weiter, wo der zuständige Apache für example.com werkelt.

      So weit, so gut. Funktioniert ohne Probleme.

      Jetzt möchte ich folgendes erreichen:
      Sollte die Anfrage nach example.com aus dem Subnet 213.230.0.0/19 kommen, soll die efw nicht auf den Port 80 vom srv2 forwarden, sondern den
      Request rejecten, droppen, was auch immer.

      Hoffe, ich habs nicht zu wirr formuliert.

      Besten Dank

      Uziel
    • Re: Generelles Sperren von IP-Ranges Inbound

      Also ich würd das so machen wie ich das vorhin glaube ich schonmal beschrieben hab.

      Wenn die IP aus dem Netz X (meinetwegen Afghanistan) auf deinen Webserver example.com zugreifen will soll die weiterleitung ja so früh wie möglich unterbunden werden. Dafür steht die Firewall Systemzugriff. Welche Quell IP versucht auf welcher Schnittstelle auf das Endian System zuzugreifen und welchen Server oder Host zu erreichen?
      Das ist die Frage die sich gestellt werden muss. Auf welcher schnittstelle ist klar. Die Rote. Also die aus dem Internet. Welche IP bzw. welcher IP Adressbereich weist du auch.
      Das lässt du einfach ablehnen. Sollte jetzt aus diesem IP-Adressbereich eine HTTP Anfrage an deinen Server example.com im Grünen Netz kommen, wird dieses von der Firewall ohne , dass diese überhaupt direkt ins Endian System gelangt verworfen.

      Hab es grad mit nem PC aus nem anderen Netz getestet und es funktioniert einwandfrei. Ich bekomm zwar die den namen vom DNS Server in die IP aufgelöst aber bleibe an der eingehenden FW auf der roten Schnittstelle hängen. Weiter komme ich absolut nicht. Nicht mal n einfaches ICMP Paket wird durchgelassen :)

      Hoffe das war jetzt einigermaßen zufriedenstellend :)

      Gruß BossBort
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo BossBort,

      genau nach Deiner Anlweitung habe ich es ja getestet, bzw. auch vorher schon einmal eingestellt gehabt, da ich dies auch als Lösung in Erwägung zog.

      Aber der gewünschte Effekt wird nicht erzielt.

      So sieht die Einstellung in den Systemzugriffsregeln aus:


      Die IP 81.169.179.X ist ein externer Server von mir. Anfragen von ihm kommen also aus dem "Internet" / IF Red zur efw. Gemäß dieser Einstellung
      müsste alles geblockt sein. Ein Ping vom externen Server aus geht auch nicht, das ist aber eh standard.

      Um diese Einstellung zu testen habe ich nun vom externen Server aus versucht eine Telnet-Session auf einen Mailserver hinter der efw / IF Green aufzubauen.
      Und siehe da: Kein Problem. Die Systemregeln scheinen also nicht zu greifen, wenn ein Portforwarding in irgendeiner Form eingetragen ist.
      Hier ein Screenshot aus dem Log:


      Und das ist auch mein ganzen Problem, an dem ich hier knabbere....

      Gruß

      Uziel
      Bilder
      • fw_log.gif

        3,31 kB, 768×39, 302 mal angesehen
      • syszugriff.gif

        6,7 kB, 744×99, 303 mal angesehen
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo,

      ich hab das ganze auch mal ausprobiert.

      Eine IP von ausen genommen und eingetragen siehe Screenshot.
      Aber wenn ich von der IP eine Verbindung aufbaue auf die EFW kommt ich drauf und kann die WebSeite öffnen.

      Ich frag mich doch da mal echt was geht da schief.

      gruß wolfi
      Bilder
      • firewallconf.jpg

        23,08 kB, 936×526, 214 mal angesehen
      Mein Computer kann alles, wegen seiner 32 Bit!
      Wenn ich 32 Bit intus habe, kann ich auch alles!
    • Re: Generelles Sperren von IP-Ranges Inbound

      Das is mir auch ein Rätsel jetzt. Das Problem das ihr jetzt habt das habe ich mit der ausgehenden Firewall. Aber das liegt schätzungsweise an der VM auf der ich momentan meine Endian-Testumgebung zu laufen hab.
      Vielleicht funktioniert es ja die FW-Regeln zu den Systemregeln manuell hinzuzufügen. Aber wo sich diese Befinden muss ich auch erstmal schauen.

      EDIT: So wie es aussieht sind die Systemregeln hier in irgendeiner Datei in diesem Verzeichniss definiert.
      # /etc/firewall/inputfw/

      Gruß BossBort

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von BossBort ()

    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo BossBart,

      scheinbar werden da also die NAT-Regeln über die Sys-Regeln gestellt. Ein sehr unangenehmes Verhalten.

      Aber wenigstesn konntest Du das nun reproduzieren und ich weiß, daß es nicht an der Installation, bzw. Konfiguration
      liegt.

      Leider habe ich zu diesem Thema auch nichts auf der offiziellen Mailingliste gefunden.
      Also werde ich dort mal ein Topic eröffnen und schauen, was dort an Feedback kommt. Ob es sich um ein gewünschtes Verhalten handelt,
      oder schlicht einen Fehler.


      Gruß

      Uziel
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo BossBort und Uziel,

      habts ihr mal versucht villeicht die ensprechende iptable selber einzutragen ohne GUI via SSH?
      Kannst uns ja auf dem laufenden halten.

      Edit: Habe gerade mal versucht die iptables zu speichern und mir direkt anzusehen

      gruß
      Mein Computer kann alles, wegen seiner 32 Bit!
      Wenn ich 32 Bit intus habe, kann ich auch alles!
    • Re: Generelles Sperren von IP-Ranges Inbound

      Hallo,
      wer will kann ja mal versuchen die Firewall iptables grafisch darstellen zu lassen.
      Mit dem Programm lassen sich auch welche generieren.

      Programm: fwbuilder.org/netcitadel/index.html

      iptables aus der EFW speichern via ssh

      Quellcode

      1. iptables-save > iptables_efw.txt


      Das dann via WinSCP runterkopieren und in den FirewallBuilder importieren.

      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Generelles Sperren von IP-Ranges Inbound

      Ich werde es später mal testen, komme grad nur nicht dazu.

      Allerdings fürchte ich, daß händisches Eintragen auch nicht zum Erfolg führt. Denn auf nicht "genatteten" Ports funktionieren die Sys-Regeln ja.
      Also wenn ich von "Reject" auf "Drop" beispielsweise umstelle, dann sehe ich das sofort bei einem Pingversuch von einer gesperrten IP aus.
      Nur greift diese Rule halt nicht, wenn der Port per NAT geforwardet wird.

      Aber wie gesagt: Versuch macht klug. ;)

      Prinzipiell wäre es aber ärgerlich, denn den Umstieg auf die efw wollte ich vollziehen, um auch einem linuxunkundigen Sys-Admin die Pflege der FW zu ermöglichen. Sonst hätte ich auch bei netfilter/shorewall bleiben können.

      Warten wir ab, was die Tests so ergeben.


      Gruß

      Uziel
    • Re: Generelles Sperren von IP-Ranges Inbound

      Also, habe das hier gerade gelesen, vielleicht verstehe ich das ja ganz falsch ?
      Aber wen der SSH- Zugriff auf der Endian aktiviert ist, geht das von allen Schnittstellen und kann auch nicht mit irgend einer Regel blockiert werden, das soll wohl verhindern das man sich selber ausschließt. Das kann auch bedeuten das der SSH- Zugriff durch die Endian durch läuf.
      Falls ich das ganze falsch verstanden habe, schon mal Sorry !
      EFW Version im Einsatz:

      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.0.5
      2 x 2.5.1
      8 x 2.2 Final
      1 x 2.3 Für mobilen Einsatz
    • Re: Generelles Sperren von IP-Ranges Inbound

      So hab das ganze nun mal probiert.

      zu erst Portweiterleitung auf den AccessPoint der hat Port 80 offen würs Webmanagement

      siehe Bild appliance_mini_fw1.jpg

      getestet .. funktioniert ok nun die sperre für eine bestimmte IP

      wie in Bild appliance_mini_fw2.jpg

      Aktuelle Firewall Einstellungen übernommen allerdings funktioniert trozdem noch der Zugriff.

      ist schon recht merkwürdig,
      das sollte so nicht sein.!

      gruß
      Bilder
      • appliance_mini_fw2.jpg

        19,43 kB, 959×355, 65 mal angesehen
      • appliance_mini_fw1.jpg

        21,65 kB, 954×324, 63 mal angesehen

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Generelles Sperren von IP-Ranges Inbound

      Also ffischer hat jetzt das ganze auch mal auf ner Hardware Applience getestet.
      Dort besteht das problem auch.
      Er hat das Problem an den Endian Support weitergeleitet. Jetzt ist nur noch abwarten und Tee trinken angesagt.
      Mal schauen was der Support dazu sagt und wann oder ob ein Hotfix für diesen doch schwerwiegenden Bug rauskommt.

      Gruß BossBort