9
Firewall Anti Spoofing Verständnisfrage
Liebe Gemeinde,
Internes Netz: 192.168.0.0/16
eine Firewall mit 3 Anti Spoofing Regeln konfiguriert:
ext. Interface(externe IP): Inbound Deny Dest:any Service:any Source:192.168.0.0/16 -> soweit verständlich....
virtuelles Interface 1 intern (eigenes VLAN 2 192.168.23.1): Inbound Deny Dest:any Service:any Source: Not (Negate)192.168.23.0/24 -> versteh ich nicht....ist diese nicht überflüssig??? Warum ein negate??
virtuelles Interface 2 intern (eigenes VLAN 3 192.168.22.1): Inbound Deny Dest:any Service:any Source: Not (Negate) 192.168.22.0/24 -> versteh ich auch nicht....
Würde mich über eine Erklärung ob die Regeln überhaupt Sinn ergeben und wenn ja, warum freuen.
Vielen Dank!
Gruß
Dr.
Internes Netz: 192.168.0.0/16
eine Firewall mit 3 Anti Spoofing Regeln konfiguriert:
ext. Interface(externe IP): Inbound Deny Dest:any Service:any Source:192.168.0.0/16 -> soweit verständlich....
virtuelles Interface 1 intern (eigenes VLAN 2 192.168.23.1): Inbound Deny Dest:any Service:any Source: Not (Negate)192.168.23.0/24 -> versteh ich nicht....ist diese nicht überflüssig??? Warum ein negate??
virtuelles Interface 2 intern (eigenes VLAN 3 192.168.22.1): Inbound Deny Dest:any Service:any Source: Not (Negate) 192.168.22.0/24 -> versteh ich auch nicht....
Würde mich über eine Erklärung ob die Regeln überhaupt Sinn ergeben und wenn ja, warum freuen.
Vielen Dank!
Gruß
Dr.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386220
Url: https://administrator.de/contentid/386220
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Ganz einfach, wenn aus Deinen VLANs Pakete aus anderen Netzen kommen, z.B. über dort angeschlossene weitere Router, sollen diese nicht weitergeleitet werden..
lks
Ganz einfach, wenn aus Deinen VLANs Pakete aus anderen Netzen kommen, z.B. über dort angeschlossene weitere Router, sollen diese nicht weitergeleitet werden..
lks
Moin,
okay, aber warum wird dann bei den letzen beiden Regeln als Source ein z.B. "Not 192.168.22.1" angegeben und nicht gleich 192.168.0.0/16?
Danke!
okay, aber warum wird dann bei den letzen beiden Regeln als Source ein z.B. "Not 192.168.22.1" angegeben und nicht gleich 192.168.0.0/16?
Danke!
warum wird dann bei den letzen beiden Regeln als Source ein z.B. "Not 192.168.22.1" angegeben und nicht gleich 192.168.0.0/16?
Weil alle Pakete abgewiesen werden sollen, die NICHT aus dem eigenen (dem VLAN zugeordneten) Subnetz kommen.
So und jetzt noch eine Frage: warum antwortet dann der Host 192.168.22.2 auf einen Ping vom Host 192.168.0.100?
Danke!
Danke!
Moin,
würde auch Funktionieren wenn du sagst Allow Source 192.168.22.0/24 Destination any und am Ende der Regel ein Deny any any hast.
Manchmal ist aber so eine Regel geschickter wenn du dabei andere Regeln dir einsparen würdest (z.B. wenn statt 3 Regeln nur diese 1 hättest).
Gruß
würde auch Funktionieren wenn du sagst Allow Source 192.168.22.0/24 Destination any und am Ende der Regel ein Deny any any hast.
Manchmal ist aber so eine Regel geschickter wenn du dabei andere Regeln dir einsparen würdest (z.B. wenn statt 3 Regeln nur diese 1 hättest).
Gruß
warum antwortet dann der Host 192.168.22.2 auf einen Ping vom Host 192.168.0.100?
Warum nicht? solange das ICMP Paket auf dem korrekten VLAN Interface mit der korrekte Source IP ankommt passt alles.Zitat von @SlainteMhath:
warum antwortet dann der Host 192.168.22.2 auf einen Ping vom Host 192.168.0.100?
Warum nicht? solange das ICMP Paket auf dem korrekten VLAN Interface mit der korrekte Source IP ankommt passt alles.ich glaube ich verstehe da was komplett falsch....sagt diese Regel nicht, blocke/drope alle Pakete die in dieses Netz (192.168.22.0) eingehend kommen, die nicht eine IP 192.168.22.0/24 haben? Somit müssten doch alle Pakete von 192.168.0.100 geblockt werden, oder ?
Danke!
Die Regel besagt:
blocke AN DIESEM INTERFACE alle EINGEHENDEN Pakete deren QUELL-IPs NICHT 192.168.22.0/24 entspricht.
blocke AN DIESEM INTERFACE alle EINGEHENDEN Pakete deren QUELL-IPs NICHT 192.168.22.0/24 entspricht.
Moin,
sorry für die späte Rückmeldung..Vielen Dank habs jetzt verstanden
sorry für die späte Rückmeldung..Vielen Dank habs jetzt verstanden
