calimero1
Goto Top

Firewall für Dateifreigabe konfigurieren

2 getrennte LAN's
1 Funkwerk R232b

Hallo zusammen,

ich habe folgende Problematik. Ich habe 2 Netzwerke die ich miteinander verbinden möchte. Die Verbindung steht auch soweit und ein Ping etc. läuft auch durch. Wenn ich nun die Firewall auf dem Funkwerk aktiviere, kommt kein Zugriff mehr auf eine Dateifreigabe zustande, obwohl folgende Ports freigeschalten sind :

netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp # NETBIOS Name Service
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp # NETBIOS Datagram Service
netbios-ssn 139/tcp # NETBIOS Session Service
netbios-ssn 139/udp # NETBIOS Session Service
microsoft-ds 445/tcp # Microsoft-DS
microsoft-ds 445/udp # Microsoft-DS

Zusätzlich habe ich noch ICMP freigeschalten, und der Ping läut durch!

Habt ihr eine Idee was ich noch freischalten muss? Es soll nur der Zugriff auf die Dateifreigabe möglich sein!

Danke schonmal!!!

Calimero

Content-ID: 142725

Url: https://administrator.de/contentid/142725

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

Crusher79
Crusher79 12.05.2010 um 15:15:38 Uhr
Goto Top
Was ist mit dem Interface?

Bei Bintec kannst du ja auch die Schnittstelle angeben. Ist da alles korrekt eingestellt? Bzw. auch auf die Gegenrichtung geachtet?

Zumidest beim R1200 kann man ja alles haarklein einstellen.

Beschreib mal kurz deine Schnittstellen und was genau bei den Regeln eingestellt ist. Wie sind die Netzwerke an den Bintec angeschlossen? Hast du den Switch aufgelöst und für jeden Port eigenen Adressbereich vergeben? Oder ist ein weiterer Router mit im Spiel?

mfg Crusher
Calimero1
Calimero1 12.05.2010 um 15:36:09 Uhr
Goto Top
Hallo Crusher,

also ich habe :

LAN1 an Port1 angeschlossen und die Schnittstelle en1-0 vergeben
LAN2 an Port2 angeschlossen und die Schnittstelle en1-1 vergeben

Die Kommunikation zwischen LAN1 und LAN2 passt. Ping auf beiden Seiten passt. Es soll vom LAN1 alle PCs auf den Server von LAN 2 zugreifen. Und zwar nur auf eine Dateifreigabe. Ich habe eine Regel erstellt die es den dem LAN1 erlaubt auf den Server von LAN2 zuzugreifen über die oben genannten Ports.
Wenn die Firewall deaktiviert ist funktioniert auch der Zugriff.

Idee?

Calimero
45877
45877 12.05.2010 um 15:41:21 Uhr
Goto Top
Hallo,

kannst du im firewall log sehen welche pakete er verwirft/blockt?
Calimero1
Calimero1 12.05.2010 um 16:45:31 Uhr
Goto Top
Laut Protokoll gehen alle Pakete durch (soweit ich das verstanden habe).

Wenn jemand mir erklärt wie ich das Protokoll exportiere stell ich es auch hier rein!
51705
51705 12.05.2010 um 19:50:49 Uhr
Goto Top
Hallo Calimero,

das Protokoll kannst du einfach erhalten, in dem du auf einem PC einen Syslog-Server installierst (z.B. Kiwi Syslogd, in der Brickware ist auch einer enthalten). Aus dem Router (unter System\External System Logging) trägst du den PC ein. Das Protokoll evtl. noch filtern (z.B. 'SIF:') - fertig.

In deinen Regeln fehlt eigentlich noch DNS (machst du den Ping auf eine IP oder einen Namen?).

Grüße, Steffen
Calimero1
Calimero1 13.05.2010 um 13:23:09 Uhr
Goto Top
Hallo Steffen,

danke für die Info, werde ich ausprobieren! Ich mache einen Ping auf die IP!

Calimero
Calimero1
Calimero1 13.05.2010 um 14:48:00 Uhr
Goto Top
so nun das Protokoll wenn ich versuche ein Netzlaufwerk herzustellen :

01:38:42 DEBUG/INET: new session, 172.31.13.10:1470->192.168.0.101:445 prot: 6 p
arent: false
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1470] -> [1000:192.1
68.0.101:445] :6
01:38:42 DEBUG/INET: new session, 172.31.13.10:1471->192.168.0.101:139 prot: 6 p
arent: false
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.1
68.0.101:139] :6

und das habe ich auch gefunden:

SIF: WARNING Probably an attack from 172.31.13.10->192.168.0.101 (12 frames per second rejected)

Kann es sein dass es auch etwas mit "routing" oder "bridging" zu tun hat?
Crusher79
Crusher79 13.05.2010 um 16:39:54 Uhr
Goto Top
Gibt ja teilweise auch auch Anti-Attack Prozeduren, die unabhängig von den Regeln greifen. Ka ob dein Bintec über so etwas verfügt!

Wenn die Verbindung also ohne Firewall klappt, dann erstell doch erstmal eine Regel, die den gesamten Traffic zwischen beiden Interfaces zu lässt.

Interface A -> Interface B - Protocol: any - ACCEPT

Jetzt sollte ja das gleiche Verhalten sein, wie wenn die Firewall aus ist. Check mal kurzl, ob dem so ist. Ansonsten liegt das Problem evtl. an einer buggy Firmware, etc. Wir lassen ja jetzt alles durch, was von den Schnittstellen kommt.

Ka wie es beim Bintec genau ist. Evtl. musst du die Regel noch einmal spiegeln.

Interface B -> Interface A .........

Wir haben ja nun komplett alles durchgelassen. Sind noch andere Regeln aktiv?

mfg Crusher
51705
51705 13.05.2010 um 22:00:00 Uhr
Goto Top
Zitat von @Calimero1:

01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1470] -> [1000:192.168.0.101:445] :6
01:38:42 DEBUG/INET: SIF: No Rule Ignore [1100:172.31.13.10:1471] -> [1000:192.168.0.101:139] :6

Steht doch alles da, keine passende Regel - Paket wird verworfen. Ich denke, du hast Fehler in deinen Regeln.

Kann es sein dass es auch etwas mit "routing" oder "bridging" zu tun hat?

s. o.
Calimero1
Calimero1 14.05.2010 um 17:30:37 Uhr
Goto Top
Also ich habe die Regeln neu erstellt und bekomme folgenes Protokoll :

06:47:37 DEBUG/INET: new session, 172.31.13.10:3199->192.168.0.101:445 prot: 6 p
arent: false
06:47:37 DEBUG/INET: SIF: 38 Accept ANY[1100:172.31.13.10:3199] -> Server2003
[1000:192.168.0.101:445] any:6
06:47:37 DEBUG/INET: new session, 172.31.13.10:3200->192.168.0.101:139 prot: 6 p
arent: false
06:47:37 DEBUG/INET: SIF: 38 Accept ANY[1100:172.31.13.10:3200] -> Server2003
[1000:192.168.0.101:139] any:6
06:47:37 DEBUG/INET: destroy session, 172.31.13.10:3199->192.168.0.101:445 prot:
6

Ich habe alles auf ANY und es geht trotzdem nichts durch!
51705
51705 15.05.2010 um 00:08:12 Uhr
Goto Top
Hallo Calimero,

die SIF schlägt diesmal nicht zu, d. h. du mußt noch ein weiteres Problem haben. Sind zusätzlich zur SIF Packet Filter gesetzt? Du mußt wohl das Protokoll mal ungefilter (oder besser nach der IP des Servers gefiltert) einstellen.

Grüße, Steffen
Calimero1
Calimero1 18.05.2010 um 23:34:35 Uhr
Goto Top
Es war tatsächlich noch ein Filter eingeschalten. War ziemlich versteckt! Aber trotzdem vielen Dank für eure Hilfe!

Grüße

Calimero
51705
51705 19.05.2010 um 09:14:45 Uhr
Goto Top
Höflich wäre es, uns an deiner Erkenntnis (welcher Filter) teilhaben zu lassen.

Grüße, Steffen
sniper22
sniper22 26.10.2010 um 16:21:55 Uhr
Goto Top
Hatte das selbe Problem heute auch.

Das Problem besteht meist darin, dass Filter und Regeln gesetzt werden, wenn das Gerät mit dem Assistenten (Wizard) in Betrieb genommen wird!
Diese Regeln sind dann über das neue FIC (mittels Browser) nicht sichtbar, sondern müssen über die klassische Konfiguration per telnet administriert werden.

Dazu loggt man sich mittels telnet auf dem Router ein und startet dann das Setup mit dem Befehl "setup".
Nun navigiert man (cursor-Tasten) zum Menüpunkt "Security" und dann zum Unterpunkt "Access lists".
Beim Unterpunkt "Interfaces" setzt man bei allen Interfaces die "first rule" auf "none".
Nun wechselt man zurück zu den Punkten "Filters" und "Rules" und markiert mittels Leertaste die dortigen
Einträge und löscht anschließend die Einträge unterhalb "Filters" und "Rules" (abschließend jeweils "save" nicht vergessen!).

Die Konfiguration ist dann abzuspeichern (boot config!!!) und der Router ggf. neuzustarten.