14
Firewall Einstellungen monowall
Hallo liebe Nutzer, ich bin neu hier registriert, konnte aber schon viel wissen hier raus saugen...
Ich habe im Hotel eine monowall laufen... Ich weiß schon tausendmal hier aufgeführt, aber ich fand nirgends eine eindeutige Anleitung wie die Firewall regeln auszusehen haben damit jemand aus dem Gastnetz nicht ins private kann.
Bitte helft mir, es war schon ein Ratespiel für mich welche Regel wie aussehen muss damit die Gäste auch Internet haben...
Danke im voraus
Ich habe im Hotel eine monowall laufen... Ich weiß schon tausendmal hier aufgeführt, aber ich fand nirgends eine eindeutige Anleitung wie die Firewall regeln auszusehen haben damit jemand aus dem Gastnetz nicht ins private kann.
Bitte helft mir, es war schon ein Ratespiel für mich welche Regel wie aussehen muss damit die Gäste auch Internet haben...
Danke im voraus
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193193
Url: https://administrator.de/forum/firewall-einstellungen-monowall-193193.html
Ausgedruckt am: 10.04.2025 um 18:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Zu Anfang mal wie schaut denn dein deine Konfig aus?
Zu Anfang mal wie schaut denn dein deine Konfig aus?
Was genau willst du denn wissen ?
Ich fang mal so an:
Eth0= Privatnetz genannt LAN 192.168.1.X
Eth1= WAN DHCP 192.168.2.x
Eth2= Öffentliches Netzw genannt LAN Guest: 172.16.1.x
LAN Guest darf nicht in LAN.
FW Rules bis jetzt:
LAN 'Inteface = Port:* Source:LAN Port:* Destination:* Port:*
LAN Guest Interface = Port* Source: LAN Guest Port:* Destination: ! WAN Port:*
hilft das ?
Ich fang mal so an:
Eth0= Privatnetz genannt LAN 192.168.1.X
Eth1= WAN DHCP 192.168.2.x
Eth2= Öffentliches Netzw genannt LAN Guest: 172.16.1.x
LAN Guest darf nicht in LAN.
FW Rules bis jetzt:
LAN 'Inteface = Port:* Source:LAN Port:* Destination:* Port:*
LAN Guest Interface = Port* Source: LAN Guest Port:* Destination: ! WAN Port:*
hilft das ?
Also das mit WAN DHCP 192.168.2.x finde ich etwas merkwürdig. Hängt da noch ein Router davor?
Sonst irgendwelche Regeln.
Sonst irgendwelche Regeln.
Ja am WAN hängt ein ordinärer Telekom DSL Router... bis dahin geht ja alles, die Gäste kommen ins I-netz und die privaten auch. Aber man kann auch vom Gäste- ins Privatnetz zugreifen, das will ich ausschalten... evtl auch vom Gastnetz zum Inetz alles sperren ausser HTTP, SMTP, POP3, HTTPS... etc. was halt so fürs alltägliche legale Internetleben anfällt.
Ok, dann sind mir eigentlich bei den Grundlagen.
Schau dir mal erst die Anleitung an. Bei Problemen bitte fragen.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Schau dir mal erst die Anleitung an. Bei Problemen bitte fragen.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die Anleitung habe ich schon 3 Mal durch gelesen, finde aber nichts konkretes über die detaillierte Einstellung der FW regeln 
Die Seite bei der Monowall in der ich einstellen muss block oder pass, source, destination etc...
Das ist für mich fast Neuland. Sorry
Die Seite bei der Monowall in der ich einstellen muss block oder pass, source, destination etc...
Das ist für mich fast Neuland. Sorry
Hallo,
source ist die quelle des traffics
destination das ziel
pass heißt sowas wie erlauben
und block verbieten
also so iwie in der art:
BLOCK $gästenetz if destination is $anderes netz
sry habe gerade den Monowall Syntax nicht im Kopf.
Grüße
source ist die quelle des traffics
destination das ziel
pass heißt sowas wie erlauben
und block verbieten
also so iwie in der art:
BLOCK $gästenetz if destination is $anderes netz
sry habe gerade den Monowall Syntax nicht im Kopf.
Grüße
hab mal n screenshot gemacht: waldhotelheppe.de/monowallfw.tiff
Hab daran schon ziemlich virl rum probiert, werde aber nicht schlau und ums durch zu testen gibts zu viele variablen
Hab daran schon ziemlich virl rum probiert, werde aber nicht schlau und ums durch zu testen gibts zu viele variablen
Dann stell doch dort mal ein Block - Lan Guest . Destination: LAN
Edit: auf die Reihenfolge der Regeln achten.
Edit: auf die Reihenfolge der Regeln achten.
aaaaha, an der Reihenfolge wird gelegen haben... Danke! Jetzt kann man von Gäste nicht mehr zu Privat, aber von Gäste zu Internet... Auf den Teilerfolg kann ich aufbauen!
Genau ! Die Reihenfolge der Regeln ist essentiell wichtig !! Denn die Firewall arbeitet nur die Regeln ab bis zu der Regel die greift und die die dahinter kommen werden dann ignoriert. Sog. "First match wins" Algorythmus.
Hast du also eine "any zu any" Regel zuerst in der Liste stehen und danach dann die Blocking Regel in dein privates Netz wird das nie funktionieren, da die "any zu any" ja positiv ist also Traffic durchlässt und die nachfolgenden Regeln ignoriert werden.
Und nochwas wichtiges: Die Regeln filtern nur eingehenden Traffic, also IP Pakete die ins Interface "reinfliessen" wenn du so willst. Auch wichtig was Source und Destination anbetrifft !!
Folglich muss also am Gästeport ZUERST immer die DENY Regel kommen mit Source= Gästenetz und Destination= Privates Netz und dann erst die any zu any Regel.
Any zu any solltest du aber nicht machen sondern nur ALLOW Regeln mit bestimmten Ports die "ungefährlich" sind allso den Gästen alles verbieten was du nicht explizit erlaubt hast wie TCP 80= Surfen TCP 443=Sicher surfen, TCP 25= Email, TCP 110 POP3 Email usw.
So gehst du immer auf Nummer sicher.. !
Danke aber für deinen Tipp ich werde das Hotspot_Tutorial Tutorial um ein Kapitel erweitern was nochmal genau die Firewall Listen enthält !
Übrigens findest du in den zahlreichen Threads zu diesem Tutorial auch entsprechende Hionweise auf die FW Regeln.
Hast du also eine "any zu any" Regel zuerst in der Liste stehen und danach dann die Blocking Regel in dein privates Netz wird das nie funktionieren, da die "any zu any" ja positiv ist also Traffic durchlässt und die nachfolgenden Regeln ignoriert werden.
Und nochwas wichtiges: Die Regeln filtern nur eingehenden Traffic, also IP Pakete die ins Interface "reinfliessen" wenn du so willst. Auch wichtig was Source und Destination anbetrifft !!
Folglich muss also am Gästeport ZUERST immer die DENY Regel kommen mit Source= Gästenetz und Destination= Privates Netz und dann erst die any zu any Regel.
Any zu any solltest du aber nicht machen sondern nur ALLOW Regeln mit bestimmten Ports die "ungefährlich" sind allso den Gästen alles verbieten was du nicht explizit erlaubt hast wie TCP 80= Surfen TCP 443=Sicher surfen, TCP 25= Email, TCP 110 POP3 Email usw.
So gehst du immer auf Nummer sicher.. !
Danke aber für deinen Tipp ich werde das Hotspot_Tutorial Tutorial um ein Kapitel erweitern was nochmal genau die Firewall Listen enthält !
Übrigens findest du in den zahlreichen Threads zu diesem Tutorial auch entsprechende Hionweise auf die FW Regeln.
So, danke für die Erweiterung der Anleitung. Hat mir echt geholfen.
Jetzt ist nur noch eine Sache die mich quält... obwohl ich die selbe einstellung für Pop/smtp und IMAP nutze, funktioniert IMAP nicht. Muss ich hierbei was anderes beachten ?
Jetzt ist nur noch eine Sache die mich quält... obwohl ich die selbe einstellung für Pop/smtp und IMAP nutze, funktioniert IMAP nicht. Muss ich hierbei was anderes beachten ?
Nutzt du secure IMAP oder "nromales" Imap ??
Bedenke das die Ports bei Secure IMAP unterschiedlich sind !!
IMAP - port TCP 143
Secure IMAP (IMAP4-SSL) - port TCP 585
IMAP4 over SSL (IMAPS) - port TCP 993
Bedenke das die Ports bei Secure IMAP unterschiedlich sind !!
IMAP - port TCP 143
Secure IMAP (IMAP4-SSL) - port TCP 585
IMAP4 over SSL (IMAPS) - port TCP 993
Das wars, danke!
Jetzt streikt nur noch das Siri... ich merk schon das ist ein Faß ohne Boden...
und weiß jemand was das is: all-systems.mcast.net
Jetzt streikt nur noch das Siri... ich merk schon das ist ein Faß ohne Boden...
und weiß jemand was das is: all-systems.mcast.net
