Firewall für Dateifreigabe konfigurieren
2 getrennte LAN's
1 Funkwerk R232b
Hallo zusammen,
ich habe folgende Problematik. Ich habe 2 Netzwerke die ich miteinander verbinden möchte. Die Verbindung steht auch soweit und ein Ping etc. läuft auch durch. Wenn ich nun die Firewall auf dem Funkwerk aktiviere, kommt kein Zugriff mehr auf eine Dateifreigabe zustande, obwohl folgende Ports freigeschalten sind :
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp # NETBIOS Name Service
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp # NETBIOS Datagram Service
netbios-ssn 139/tcp # NETBIOS Session Service
netbios-ssn 139/udp # NETBIOS Session Service
microsoft-ds 445/tcp # Microsoft-DS
microsoft-ds 445/udp # Microsoft-DS
Zusätzlich habe ich noch ICMP freigeschalten, und der Ping läut durch!
Habt ihr eine Idee was ich noch freischalten muss? Es soll nur der Zugriff auf die Dateifreigabe möglich sein!
Danke schonmal!!!
Calimero
1 Funkwerk R232b
Hallo zusammen,
ich habe folgende Problematik. Ich habe 2 Netzwerke die ich miteinander verbinden möchte. Die Verbindung steht auch soweit und ein Ping etc. läuft auch durch. Wenn ich nun die Firewall auf dem Funkwerk aktiviere, kommt kein Zugriff mehr auf eine Dateifreigabe zustande, obwohl folgende Ports freigeschalten sind :
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp # NETBIOS Name Service
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp # NETBIOS Datagram Service
netbios-ssn 139/tcp # NETBIOS Session Service
netbios-ssn 139/udp # NETBIOS Session Service
microsoft-ds 445/tcp # Microsoft-DS
microsoft-ds 445/udp # Microsoft-DS
Zusätzlich habe ich noch ICMP freigeschalten, und der Ping läut durch!
Habt ihr eine Idee was ich noch freischalten muss? Es soll nur der Zugriff auf die Dateifreigabe möglich sein!
Danke schonmal!!!
Calimero
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142725
Url: https://administrator.de/contentid/142725
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
Was ist mit dem Interface?
Bei Bintec kannst du ja auch die Schnittstelle angeben. Ist da alles korrekt eingestellt? Bzw. auch auf die Gegenrichtung geachtet?
Zumidest beim R1200 kann man ja alles haarklein einstellen.
Beschreib mal kurz deine Schnittstellen und was genau bei den Regeln eingestellt ist. Wie sind die Netzwerke an den Bintec angeschlossen? Hast du den Switch aufgelöst und für jeden Port eigenen Adressbereich vergeben? Oder ist ein weiterer Router mit im Spiel?
mfg Crusher
Bei Bintec kannst du ja auch die Schnittstelle angeben. Ist da alles korrekt eingestellt? Bzw. auch auf die Gegenrichtung geachtet?
Zumidest beim R1200 kann man ja alles haarklein einstellen.
Beschreib mal kurz deine Schnittstellen und was genau bei den Regeln eingestellt ist. Wie sind die Netzwerke an den Bintec angeschlossen? Hast du den Switch aufgelöst und für jeden Port eigenen Adressbereich vergeben? Oder ist ein weiterer Router mit im Spiel?
mfg Crusher
Hallo,
kannst du im firewall log sehen welche pakete er verwirft/blockt?
kannst du im firewall log sehen welche pakete er verwirft/blockt?
Hallo Calimero,
das Protokoll kannst du einfach erhalten, in dem du auf einem PC einen Syslog-Server installierst (z.B. Kiwi Syslogd, in der Brickware ist auch einer enthalten). Aus dem Router (unter System\External System Logging) trägst du den PC ein. Das Protokoll evtl. noch filtern (z.B. 'SIF:') - fertig.
In deinen Regeln fehlt eigentlich noch DNS (machst du den Ping auf eine IP oder einen Namen?).
Grüße, Steffen
das Protokoll kannst du einfach erhalten, in dem du auf einem PC einen Syslog-Server installierst (z.B. Kiwi Syslogd, in der Brickware ist auch einer enthalten). Aus dem Router (unter System\External System Logging) trägst du den PC ein. Das Protokoll evtl. noch filtern (z.B. 'SIF:') - fertig.
In deinen Regeln fehlt eigentlich noch DNS (machst du den Ping auf eine IP oder einen Namen?).
Grüße, Steffen
Gibt ja teilweise auch auch Anti-Attack Prozeduren, die unabhängig von den Regeln greifen. Ka ob dein Bintec über so etwas verfügt!
Wenn die Verbindung also ohne Firewall klappt, dann erstell doch erstmal eine Regel, die den gesamten Traffic zwischen beiden Interfaces zu lässt.
Jetzt sollte ja das gleiche Verhalten sein, wie wenn die Firewall aus ist. Check mal kurzl, ob dem so ist. Ansonsten liegt das Problem evtl. an einer buggy Firmware, etc. Wir lassen ja jetzt alles durch, was von den Schnittstellen kommt.
Ka wie es beim Bintec genau ist. Evtl. musst du die Regel noch einmal spiegeln.
Wir haben ja nun komplett alles durchgelassen. Sind noch andere Regeln aktiv?
mfg Crusher
Wenn die Verbindung also ohne Firewall klappt, dann erstell doch erstmal eine Regel, die den gesamten Traffic zwischen beiden Interfaces zu lässt.
Interface A -> Interface B - Protocol: any - ACCEPT
Jetzt sollte ja das gleiche Verhalten sein, wie wenn die Firewall aus ist. Check mal kurzl, ob dem so ist. Ansonsten liegt das Problem evtl. an einer buggy Firmware, etc. Wir lassen ja jetzt alles durch, was von den Schnittstellen kommt.
Ka wie es beim Bintec genau ist. Evtl. musst du die Regel noch einmal spiegeln.
Interface B -> Interface A .........
Wir haben ja nun komplett alles durchgelassen. Sind noch andere Regeln aktiv?
mfg Crusher
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1470] -> [1000:192.168.0.101:445] :6
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.168.0.101:139] :6
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.168.0.101:139] :6
Steht doch alles da, keine passende Regel - Paket wird verworfen. Ich denke, du hast Fehler in deinen Regeln.
Kann es sein dass es auch etwas mit "routing" oder "bridging" zu tun hat?
s. o.
Hallo Calimero,
die SIF schlägt diesmal nicht zu, d. h. du mußt noch ein weiteres Problem haben. Sind zusätzlich zur SIF Packet Filter gesetzt? Du mußt wohl das Protokoll mal ungefilter (oder besser nach der IP des Servers gefiltert) einstellen.
Grüße, Steffen
die SIF schlägt diesmal nicht zu, d. h. du mußt noch ein weiteres Problem haben. Sind zusätzlich zur SIF Packet Filter gesetzt? Du mußt wohl das Protokoll mal ungefilter (oder besser nach der IP des Servers gefiltert) einstellen.
Grüße, Steffen
Höflich wäre es, uns an deiner Erkenntnis (welcher Filter) teilhaben zu lassen.
Grüße, Steffen
Grüße, Steffen
Hatte das selbe Problem heute auch.
Das Problem besteht meist darin, dass Filter und Regeln gesetzt werden, wenn das Gerät mit dem Assistenten (Wizard) in Betrieb genommen wird!
Diese Regeln sind dann über das neue FIC (mittels Browser) nicht sichtbar, sondern müssen über die klassische Konfiguration per telnet administriert werden.
Dazu loggt man sich mittels telnet auf dem Router ein und startet dann das Setup mit dem Befehl "setup".
Nun navigiert man (cursor-Tasten) zum Menüpunkt "Security" und dann zum Unterpunkt "Access lists".
Beim Unterpunkt "Interfaces" setzt man bei allen Interfaces die "first rule" auf "none".
Nun wechselt man zurück zu den Punkten "Filters" und "Rules" und markiert mittels Leertaste die dortigen
Einträge und löscht anschließend die Einträge unterhalb "Filters" und "Rules" (abschließend jeweils "save" nicht vergessen!).
Die Konfiguration ist dann abzuspeichern (boot config!!!) und der Router ggf. neuzustarten.
Das Problem besteht meist darin, dass Filter und Regeln gesetzt werden, wenn das Gerät mit dem Assistenten (Wizard) in Betrieb genommen wird!
Diese Regeln sind dann über das neue FIC (mittels Browser) nicht sichtbar, sondern müssen über die klassische Konfiguration per telnet administriert werden.
Dazu loggt man sich mittels telnet auf dem Router ein und startet dann das Setup mit dem Befehl "setup".
Nun navigiert man (cursor-Tasten) zum Menüpunkt "Security" und dann zum Unterpunkt "Access lists".
Beim Unterpunkt "Interfaces" setzt man bei allen Interfaces die "first rule" auf "none".
Nun wechselt man zurück zu den Punkten "Filters" und "Rules" und markiert mittels Leertaste die dortigen
Einträge und löscht anschließend die Einträge unterhalb "Filters" und "Rules" (abschließend jeweils "save" nicht vergessen!).
Die Konfiguration ist dann abzuspeichern (boot config!!!) und der Router ggf. neuzustarten.