14
Firewall für Dateifreigabe konfigurieren
2 getrennte LAN's
1 Funkwerk R232b
Hallo zusammen,
ich habe folgende Problematik. Ich habe 2 Netzwerke die ich miteinander verbinden möchte. Die Verbindung steht auch soweit und ein Ping etc. läuft auch durch. Wenn ich nun die Firewall auf dem Funkwerk aktiviere, kommt kein Zugriff mehr auf eine Dateifreigabe zustande, obwohl folgende Ports freigeschalten sind :
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp # NETBIOS Name Service
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp # NETBIOS Datagram Service
netbios-ssn 139/tcp # NETBIOS Session Service
netbios-ssn 139/udp # NETBIOS Session Service
microsoft-ds 445/tcp # Microsoft-DS
microsoft-ds 445/udp # Microsoft-DS
Zusätzlich habe ich noch ICMP freigeschalten, und der Ping läut durch!
Habt ihr eine Idee was ich noch freischalten muss? Es soll nur der Zugriff auf die Dateifreigabe möglich sein!
Danke schonmal!!!
Calimero
1 Funkwerk R232b
Hallo zusammen,
ich habe folgende Problematik. Ich habe 2 Netzwerke die ich miteinander verbinden möchte. Die Verbindung steht auch soweit und ein Ping etc. läuft auch durch. Wenn ich nun die Firewall auf dem Funkwerk aktiviere, kommt kein Zugriff mehr auf eine Dateifreigabe zustande, obwohl folgende Ports freigeschalten sind :
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp # NETBIOS Name Service
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp # NETBIOS Datagram Service
netbios-ssn 139/tcp # NETBIOS Session Service
netbios-ssn 139/udp # NETBIOS Session Service
microsoft-ds 445/tcp # Microsoft-DS
microsoft-ds 445/udp # Microsoft-DS
Zusätzlich habe ich noch ICMP freigeschalten, und der Ping läut durch!
Habt ihr eine Idee was ich noch freischalten muss? Es soll nur der Zugriff auf die Dateifreigabe möglich sein!
Danke schonmal!!!
Calimero
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142725
Url: https://administrator.de/contentid/142725
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
Was ist mit dem Interface?
Bei Bintec kannst du ja auch die Schnittstelle angeben. Ist da alles korrekt eingestellt? Bzw. auch auf die Gegenrichtung geachtet?
Zumidest beim R1200 kann man ja alles haarklein einstellen.
Beschreib mal kurz deine Schnittstellen und was genau bei den Regeln eingestellt ist. Wie sind die Netzwerke an den Bintec angeschlossen? Hast du den Switch aufgelöst und für jeden Port eigenen Adressbereich vergeben? Oder ist ein weiterer Router mit im Spiel?
mfg Crusher
Bei Bintec kannst du ja auch die Schnittstelle angeben. Ist da alles korrekt eingestellt? Bzw. auch auf die Gegenrichtung geachtet?
Zumidest beim R1200 kann man ja alles haarklein einstellen.
Beschreib mal kurz deine Schnittstellen und was genau bei den Regeln eingestellt ist. Wie sind die Netzwerke an den Bintec angeschlossen? Hast du den Switch aufgelöst und für jeden Port eigenen Adressbereich vergeben? Oder ist ein weiterer Router mit im Spiel?
mfg Crusher
Hallo Crusher,
also ich habe :
LAN1 an Port1 angeschlossen und die Schnittstelle en1-0 vergeben
LAN2 an Port2 angeschlossen und die Schnittstelle en1-1 vergeben
Die Kommunikation zwischen LAN1 und LAN2 passt. Ping auf beiden Seiten passt. Es soll vom LAN1 alle PCs auf den Server von LAN 2 zugreifen. Und zwar nur auf eine Dateifreigabe. Ich habe eine Regel erstellt die es den dem LAN1 erlaubt auf den Server von LAN2 zuzugreifen über die oben genannten Ports.
Wenn die Firewall deaktiviert ist funktioniert auch der Zugriff.
Idee?
Calimero
also ich habe :
LAN1 an Port1 angeschlossen und die Schnittstelle en1-0 vergeben
LAN2 an Port2 angeschlossen und die Schnittstelle en1-1 vergeben
Die Kommunikation zwischen LAN1 und LAN2 passt. Ping auf beiden Seiten passt. Es soll vom LAN1 alle PCs auf den Server von LAN 2 zugreifen. Und zwar nur auf eine Dateifreigabe. Ich habe eine Regel erstellt die es den dem LAN1 erlaubt auf den Server von LAN2 zuzugreifen über die oben genannten Ports.
Wenn die Firewall deaktiviert ist funktioniert auch der Zugriff.
Idee?
Calimero
Hallo,
kannst du im firewall log sehen welche pakete er verwirft/blockt?
kannst du im firewall log sehen welche pakete er verwirft/blockt?
Laut Protokoll gehen alle Pakete durch (soweit ich das verstanden habe).
Wenn jemand mir erklärt wie ich das Protokoll exportiere stell ich es auch hier rein!
Wenn jemand mir erklärt wie ich das Protokoll exportiere stell ich es auch hier rein!
Hallo Calimero,
das Protokoll kannst du einfach erhalten, in dem du auf einem PC einen Syslog-Server installierst (z.B. Kiwi Syslogd, in der Brickware ist auch einer enthalten). Aus dem Router (unter System\External System Logging) trägst du den PC ein. Das Protokoll evtl. noch filtern (z.B. 'SIF:') - fertig.
In deinen Regeln fehlt eigentlich noch DNS (machst du den Ping auf eine IP oder einen Namen?).
Grüße, Steffen
das Protokoll kannst du einfach erhalten, in dem du auf einem PC einen Syslog-Server installierst (z.B. Kiwi Syslogd, in der Brickware ist auch einer enthalten). Aus dem Router (unter System\External System Logging) trägst du den PC ein. Das Protokoll evtl. noch filtern (z.B. 'SIF:') - fertig.
In deinen Regeln fehlt eigentlich noch DNS (machst du den Ping auf eine IP oder einen Namen?).
Grüße, Steffen
Hallo Steffen,
danke für die Info, werde ich ausprobieren! Ich mache einen Ping auf die IP!
Calimero
danke für die Info, werde ich ausprobieren! Ich mache einen Ping auf die IP!
Calimero
so nun das Protokoll wenn ich versuche ein Netzlaufwerk herzustellen :
01:38:42 DEBUG/INET: new session, 172.31.13.10:1470->192.168.0.101:445 prot: 6 p
arent: false
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1470] -> [1000:192.1
68.0.101:445] :6
01:38:42 DEBUG/INET: new session, 172.31.13.10:1471->192.168.0.101:139 prot: 6 p
arent: false
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.1
68.0.101:139] :6
und das habe ich auch gefunden:
SIF: WARNING Probably an attack from 172.31.13.10->192.168.0.101 (12 frames per second rejected)
Kann es sein dass es auch etwas mit "routing" oder "bridging" zu tun hat?
01:38:42 DEBUG/INET: new session, 172.31.13.10:1470->192.168.0.101:445 prot: 6 p
arent: false
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1470] -> [1000:192.1
68.0.101:445] :6
01:38:42 DEBUG/INET: new session, 172.31.13.10:1471->192.168.0.101:139 prot: 6 p
arent: false
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.1
68.0.101:139] :6
und das habe ich auch gefunden:
SIF: WARNING Probably an attack from 172.31.13.10->192.168.0.101 (12 frames per second rejected)
Kann es sein dass es auch etwas mit "routing" oder "bridging" zu tun hat?
Gibt ja teilweise auch auch Anti-Attack Prozeduren, die unabhängig von den Regeln greifen. Ka ob dein Bintec über so etwas verfügt!
Wenn die Verbindung also ohne Firewall klappt, dann erstell doch erstmal eine Regel, die den gesamten Traffic zwischen beiden Interfaces zu lässt.
Jetzt sollte ja das gleiche Verhalten sein, wie wenn die Firewall aus ist. Check mal kurzl, ob dem so ist. Ansonsten liegt das Problem evtl. an einer buggy Firmware, etc. Wir lassen ja jetzt alles durch, was von den Schnittstellen kommt.
Ka wie es beim Bintec genau ist. Evtl. musst du die Regel noch einmal spiegeln.
Wir haben ja nun komplett alles durchgelassen. Sind noch andere Regeln aktiv?
mfg Crusher
Wenn die Verbindung also ohne Firewall klappt, dann erstell doch erstmal eine Regel, die den gesamten Traffic zwischen beiden Interfaces zu lässt.
Interface A -> Interface B - Protocol: any - ACCEPT
Jetzt sollte ja das gleiche Verhalten sein, wie wenn die Firewall aus ist. Check mal kurzl, ob dem so ist. Ansonsten liegt das Problem evtl. an einer buggy Firmware, etc. Wir lassen ja jetzt alles durch, was von den Schnittstellen kommt.
Ka wie es beim Bintec genau ist. Evtl. musst du die Regel noch einmal spiegeln.
Interface B -> Interface A .........
Wir haben ja nun komplett alles durchgelassen. Sind noch andere Regeln aktiv?
mfg Crusher
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1470] -> [1000:192.168.0.101:445] :6
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.168.0.101:139] :6
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.168.0.101:139] :6
Steht doch alles da, keine passende Regel - Paket wird verworfen. Ich denke, du hast Fehler in deinen Regeln.
Kann es sein dass es auch etwas mit "routing" oder "bridging" zu tun hat?
s. o.
Also ich habe die Regeln neu erstellt und bekomme folgenes Protokoll :
06:47:37 DEBUG/INET: new session, 172.31.13.10:3199->192.168.0.101:445 prot: 6 p
arent: false
06:47:37 DEBUG/INET: SIF: 38 Accept ANY[1100:172.31.13.10:3199] -> Server2003
[1000:192.168.0.101:445] any:6
06:47:37 DEBUG/INET: new session, 172.31.13.10:3200->192.168.0.101:139 prot: 6 p
arent: false
06:47:37 DEBUG/INET: SIF: 38 Accept ANY[1100:172.31.13.10:3200] -> Server2003
[1000:192.168.0.101:139] any:6
06:47:37 DEBUG/INET: destroy session, 172.31.13.10:3199->192.168.0.101:445 prot:
6
Ich habe alles auf ANY und es geht trotzdem nichts durch!
06:47:37 DEBUG/INET: new session, 172.31.13.10:3199->192.168.0.101:445 prot: 6 p
arent: false
06:47:37 DEBUG/INET: SIF: 38 Accept ANY[1100:172.31.13.10:3199] -> Server2003
[1000:192.168.0.101:445] any:6
06:47:37 DEBUG/INET: new session, 172.31.13.10:3200->192.168.0.101:139 prot: 6 p
arent: false
06:47:37 DEBUG/INET: SIF: 38 Accept ANY[1100:172.31.13.10:3200] -> Server2003
[1000:192.168.0.101:139] any:6
06:47:37 DEBUG/INET: destroy session, 172.31.13.10:3199->192.168.0.101:445 prot:
6
Ich habe alles auf ANY und es geht trotzdem nichts durch!
Hallo Calimero,
die SIF schlägt diesmal nicht zu, d. h. du mußt noch ein weiteres Problem haben. Sind zusätzlich zur SIF Packet Filter gesetzt? Du mußt wohl das Protokoll mal ungefilter (oder besser nach der IP des Servers gefiltert) einstellen.
Grüße, Steffen
die SIF schlägt diesmal nicht zu, d. h. du mußt noch ein weiteres Problem haben. Sind zusätzlich zur SIF Packet Filter gesetzt? Du mußt wohl das Protokoll mal ungefilter (oder besser nach der IP des Servers gefiltert) einstellen.
Grüße, Steffen
Es war tatsächlich noch ein Filter eingeschalten. War ziemlich versteckt! Aber trotzdem vielen Dank für eure Hilfe!
Grüße
Calimero
Grüße
Calimero
Höflich wäre es, uns an deiner Erkenntnis (welcher Filter) teilhaben zu lassen.
Grüße, Steffen
Grüße, Steffen
Hatte das selbe Problem heute auch.
Das Problem besteht meist darin, dass Filter und Regeln gesetzt werden, wenn das Gerät mit dem Assistenten (Wizard) in Betrieb genommen wird!
Diese Regeln sind dann über das neue FIC (mittels Browser) nicht sichtbar, sondern müssen über die klassische Konfiguration per telnet administriert werden.
Dazu loggt man sich mittels telnet auf dem Router ein und startet dann das Setup mit dem Befehl "setup".
Nun navigiert man (cursor-Tasten) zum Menüpunkt "Security" und dann zum Unterpunkt "Access lists".
Beim Unterpunkt "Interfaces" setzt man bei allen Interfaces die "first rule" auf "none".
Nun wechselt man zurück zu den Punkten "Filters" und "Rules" und markiert mittels Leertaste die dortigen
Einträge und löscht anschließend die Einträge unterhalb "Filters" und "Rules" (abschließend jeweils "save" nicht vergessen!).
Die Konfiguration ist dann abzuspeichern (boot config!!!) und der Router ggf. neuzustarten.
Das Problem besteht meist darin, dass Filter und Regeln gesetzt werden, wenn das Gerät mit dem Assistenten (Wizard) in Betrieb genommen wird!
Diese Regeln sind dann über das neue FIC (mittels Browser) nicht sichtbar, sondern müssen über die klassische Konfiguration per telnet administriert werden.
Dazu loggt man sich mittels telnet auf dem Router ein und startet dann das Setup mit dem Befehl "setup".
Nun navigiert man (cursor-Tasten) zum Menüpunkt "Security" und dann zum Unterpunkt "Access lists".
Beim Unterpunkt "Interfaces" setzt man bei allen Interfaces die "first rule" auf "none".
Nun wechselt man zurück zu den Punkten "Filters" und "Rules" und markiert mittels Leertaste die dortigen
Einträge und löscht anschließend die Einträge unterhalb "Filters" und "Rules" (abschließend jeweils "save" nicht vergessen!).
Die Konfiguration ist dann abzuspeichern (boot config!!!) und der Router ggf. neuzustarten.
