dr.cornwallis
Goto Top

Firewall Anti Spoofing Verständnisfrage

Liebe Gemeinde,

Internes Netz: 192.168.0.0/16

eine Firewall mit 3 Anti Spoofing Regeln konfiguriert:

ext. Interface(externe IP): Inbound Deny Dest:any Service:any Source:192.168.0.0/16 -> soweit verständlich....
virtuelles Interface 1 intern (eigenes VLAN 2 192.168.23.1): Inbound Deny Dest:any Service:any Source: Not (Negate)192.168.23.0/24 -> versteh ich nicht....ist diese nicht überflüssig??? Warum ein negate??
virtuelles Interface 2 intern (eigenes VLAN 3 192.168.22.1): Inbound Deny Dest:any Service:any Source: Not (Negate) 192.168.22.0/24 -> versteh ich auch nicht....

Würde mich über eine Erklärung ob die Regeln überhaupt Sinn ergeben und wenn ja, warum freuen.


Vielen Dank!


Gruß

Dr.

Content-ID: 386220

Url: https://administrator.de/forum/firewall-anti-spoofing-verstaendnisfrage-386220.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 12.09.2018 um 08:43:08 Uhr
Goto Top
Moin,

Ganz einfach, wenn aus Deinen VLANs Pakete aus anderen Netzen kommen, z.B. über dort angeschlossene weitere Router, sollen diese nicht weitergeleitet werden..

lks
Dr.Cornwallis
Dr.Cornwallis 12.09.2018 um 08:49:47 Uhr
Goto Top
Moin,

okay, aber warum wird dann bei den letzen beiden Regeln als Source ein z.B. "Not 192.168.22.1" angegeben und nicht gleich 192.168.0.0/16?

Danke!
SlainteMhath
SlainteMhath 12.09.2018 um 09:43:15 Uhr
Goto Top
warum wird dann bei den letzen beiden Regeln als Source ein z.B. "Not 192.168.22.1" angegeben und nicht gleich 192.168.0.0/16?
Weil alle Pakete abgewiesen werden sollen, die NICHT aus dem eigenen (dem VLAN zugeordneten) Subnetz kommen.
Dr.Cornwallis
Dr.Cornwallis 12.09.2018 um 10:16:27 Uhr
Goto Top
So und jetzt noch eine Frage: warum antwortet dann der Host 192.168.22.2 auf einen Ping vom Host 192.168.0.100?

Danke!
90948
90948 12.09.2018 um 10:16:55 Uhr
Goto Top
Moin,

würde auch Funktionieren wenn du sagst Allow Source 192.168.22.0/24 Destination any und am Ende der Regel ein Deny any any hast.
Manchmal ist aber so eine Regel geschickter wenn du dabei andere Regeln dir einsparen würdest (z.B. wenn statt 3 Regeln nur diese 1 hättest).

Gruß
SlainteMhath
SlainteMhath 12.09.2018 um 10:46:42 Uhr
Goto Top
warum antwortet dann der Host 192.168.22.2 auf einen Ping vom Host 192.168.0.100?
Warum nicht? solange das ICMP Paket auf dem korrekten VLAN Interface mit der korrekte Source IP ankommt passt alles.
Dr.Cornwallis
Dr.Cornwallis 12.09.2018 um 12:05:00 Uhr
Goto Top
Zitat von @SlainteMhath:

warum antwortet dann der Host 192.168.22.2 auf einen Ping vom Host 192.168.0.100?
Warum nicht? solange das ICMP Paket auf dem korrekten VLAN Interface mit der korrekte Source IP ankommt passt alles.


ich glaube ich verstehe da was komplett falsch....sagt diese Regel nicht, blocke/drope alle Pakete die in dieses Netz (192.168.22.0) eingehend kommen, die nicht eine IP 192.168.22.0/24 haben? Somit müssten doch alle Pakete von 192.168.0.100 geblockt werden, oder ?

Danke!
SlainteMhath
Lösung SlainteMhath 12.09.2018 um 15:05:00 Uhr
Goto Top
Die Regel besagt:

blocke AN DIESEM INTERFACE alle EINGEHENDEN Pakete deren QUELL-IPs NICHT 192.168.22.0/24 entspricht.
Dr.Cornwallis
Dr.Cornwallis 17.09.2018 um 09:59:22 Uhr
Goto Top
Moin,

sorry für die späte Rückmeldung..Vielen Dank habs jetzt verstanden