bubblegun
Goto Top

IPv4 Filterregeln erstellen

Hallo Wissende, hier eine Frage von einem der glaubt (dass er was weiß)!
Mein Netzwerk daheim ist aufgeteilt in zwei Subnetze, xxxx.xxxx.37.0 (Bridge_0) und xxxx.xxxx.186.0 (EN1-4)
Im Subnetz .37 sind die Geräte auf die ich -oder Vertraute- über WAN zugreifen wollen. Im Subnetz .186 sind die einzelnen Rechner auf die sonst niemand zugreifen darf.
Leider mehren sich in letzter Zeit die illegalen Login-Versuche auf meinen Kameras im .37er Netz, so dass ich geglaubt habe mit meinem begrenzten Wissen dafür Filterregeln erstellen zu können, was mir aber offensichtlich nicht gelingt, weil die illegalen Zugriffsversuche weiter geloggt werden.
Ich habe in meinem Router be.ip plus folgende Filterregeln erstellt und aktiviert:
Dienst: alle
Zieladresse:Netzwerk xxxx.xxxx.37.0 mit 255.255.255.0
Quelladresse: 66.175.208.0 mit 255.255.255.0

Regelkette: Zulassen wenn Filter nicht passt
Schnittstellenzuweisung: Bridge_0, verwerfen ohne Rückmeldung, Berichtsmethode Info

In der Firewall ist Bridge_0 und EN1-4 als vertrauenswürdige Schnittstelle eingetragen. Wenn ich Bridge_0 von den vertrauenswürdigen Schnittstellen rausnehme, kann ich von EN1-4 zwar noch auf die Kameras zugreifen, auch alle Menüpunkte aufrufen außer "Webserver Logdatei" die mir halt sagt ob da illegale Login-Versuche waren.
Was mache ich da falsch?

Content-ID: 33176350403

Url: https://administrator.de/contentid/33176350403

Ausgedruckt am: 02.11.2024 um 18:11 Uhr

support-m
support-m 16.04.2024 um 12:46:51 Uhr
Goto Top
Hallo
Zitat von @bubblegun:
Mein Netzwerk daheim ist aufgeteilt in zwei Subnetze, xxxx.xxxx.37.0 (Bridge_0) und xxxx.xxxx.186.0 (EN1-4)
Gut

Im Subnetz .37 sind die Geräte auf die ich -oder Vertraute- über WAN zugreifen wollen.
Also quasi eine DMZ?

Im Subnetz .186 sind die einzelnen Rechner auf die sonst niemand zugreifen darf.
Also dein INTERNAL LAN

Leider mehren sich in letzter Zeit die illegalen Login-Versuche auf meinen Kameras im .37er Netz, so dass ich geglaubt habe mit meinem begrenzten Wissen dafür Filterregeln erstellen zu können, was mir aber offensichtlich nicht gelingt, weil die illegalen Zugriffsversuche weiter geloggt werden.
Um korrekte Filterregeln setzen zu können muss man erstmal wissen, von "wo" illegale Logins stattfinden. Aus dem Internet? Aus dem 186er Netz?

Ich habe in meinem Router be.ip plus folgende Filterregeln erstellt und aktiviert:
Den Router kenne ich nicht, was aber nichts bedeuten muss. Kann der Router eigene Subnetze und firewalling überhaupt?

Dienst: alle
Zieladresse:Netzwerk xxxx.xxxx.37.0 mit 255.255.255.0
Quelladresse: 66.175.208.0 mit 255.255.255.0
Regelkette: Zulassen wenn Filter nicht passt
Hm? Das ergibt ja keinen Sinn. Damit gibts du im Grunde dem kompletten Internet Zugriff mit allen Ports auf deine DMZ frei...

Schnittstellenzuweisung: Bridge_0, verwerfen ohne Rückmeldung, Berichtsmethode Info
In der Firewall ist Bridge_0 und EN1-4 als vertrauenswürdige Schnittstelle eingetragen. Wenn ich Bridge_0 von den vertrauenswürdigen Schnittstellen rausnehme, kann ich von EN1-4 zwar noch auf die Kameras zugreifen, auch alle Menüpunkte aufrufen außer "Webserver Logdatei" die mir halt sagt ob da illegale Login-Versuche waren.
Dazu kenne ich die be.ip plus nicht. Aber wenn es sich um reguläre Portweiterleitungen handelt müsste das zunächst der Zugriff auf den WAN-Port sein > erst dann wird der Port weitergeleitet. Kannst du mal Screenshots deiner Konfiguration machen?

Was mache ich da falsch?
Ich würde empfehlen, einen anderen Router/Firewall zu nutzen. OPNsense oder pfSense, da gilt ganz klar: Alles was nicht explizit erlaubt wird, wird blockiert. Ich weiß nicht, inwiefern be.ip plus das auch so handhabt.

MfG
bubblegun
bubblegun 16.04.2024 um 13:08:47 Uhr
Goto Top
Die Bintec-Elmeg be.ip plus ist eigentlich auch sowas wie eine "eierlegende Wollmilchsau", aber etwas schwierig zu beherrschen wenn man zu wenig Ahnung hat.
Die illegalen Zugriffe erfolgen aus dem Internet. Also muss ich in der Regelkette für diese IP/das Netzwerk definieren "verweigern wenn Filter passt".
Grundsätzlich ist ja NAT vorgeschaltet, da sind die Freigaben mit Portweiterleitungen eingetragen. Das sind meine Kameras, das NAS (RS819), und meine Telefonanlage. Diese Weiterleitungen sind deshalb eingerichtet, damit ich (oder vertraute Personen) von ihren Rechnern darauf zugreifen können. VPN gestaltet sich schwierig, auf dem NAS ist auch nichts lebenswichtiges. Es ärgert mich halt einfach dass immer wieder INet-Nutzer so respektlos sind und versuchen sich da einzuloggen.
kpunkt
kpunkt 16.04.2024 um 13:21:38 Uhr
Goto Top
Irgendwo bei uns läuft auch dieses be.ip-Teil. Eben als TK-Anlage und daher quasi öffentlich im Netz. Ich hab mich mit dem teil nie richtig beschäftigt. Alles, was dahinter ist, wird per Lancom (VPN-Router) geregelt.
Ich hab das Dings auch nur zwangsweise, weil eingemietet in Fremdgebäude und vorhandener Haus- und Hoflektriker eher keine Ahnung hat und nur mit dem Teil TK kann.

Wenn der Genosse aber solche Regeln kann, wie du das angeführt hast, dann kannst du ja mit einer Whitelist arbeiten. Also nur alles von einer bekannten IP auf das Netz lassen.
Eine Blacklist "verweigern wenn Filter passt" ist machbar, aber halt sehr aufwendig. Im ersten Post hast du aber die Regel anders lauten lassen.
aqui
aqui 16.04.2024 aktualisiert um 13:22:41 Uhr
Goto Top
Bei "Port Weiterleitungen" auf NAS und Kameras kann man eigentlich aufhören weiterzulesen. Wer heute so völlig ungeschützten Internet Traffic auf solche Komponenten leitet ohne ein VPN handelt zumindest fahrlässig um politisch korrekt zu bleiben.
Die Bintec-Elmeg be.ip plus ist ein VPN Router. Völlig unverständlich wenn man das nicht nutzt.
Kein Wunder also das man dann am Internet Kamera Pranger als Dummie landet. Da werden auch Filter wenig nützen...
bubblegun
bubblegun 16.04.2024 aktualisiert um 13:50:02 Uhr
Goto Top
Zitat von @kpunkt:

Irgendwo bei uns läuft auch dieses be.ip-Teil. Eben als TK-Anlage und daher quasi öffentlich im Netz. Ich hab mich mit dem teil nie richtig beschäftigt. Alles, was dahinter ist, wird per Lancom (VPN-Router) geregelt.
Ich hab das Dings auch nur zwangsweise, weil eingemietet in Fremdgebäude und vorhandener Haus- und Hoflektriker eher keine Ahnung hat und nur mit dem Teil TK kann.

Wenn der Genosse aber solche Regeln kann, wie du das angeführt hast, dann kannst du ja mit einer Whitelist arbeiten. Also nur alles von einer bekannten IP auf das Netz lassen.
Eine Blacklist "verweigern wenn Filter passt" ist machbar, aber halt sehr aufwendig. Im ersten Post hast du aber die Regel anders lauten lassen.

Diese Blacklist meinte ich damit eingerichtet zu haben wenn ich "Zulassen, wenn Filter nicht passt" gewählt habe. Denn im Filter ist das Netzwerk 66.175.208.0/255.255.255.0 angegeben, das nicht auf die Kameras zugreifen darf. Das verstehe ich so, dass alles was nicht von diesem Netzwerk kommt zugelassen wird. Wenn ich jetzt "verweigern wenn Filter passt" einrichte, dann werden alle ausgesperrt auf die der Filter nicht passt? Ich hab dann jedenfalls von meinem internen Netz .186.0 keinen Zugriff mehr auf meine Kameras.
@aqui: Bei den ganzen wechselnden Positionen und unterschiedlichen Rechnern, und Vertrauten die sich recht wenig mit der Materie befassen ist es ganz einfach nicht möglich "überall" VPN einzurichten, mein ich!
kpunkt
kpunkt 16.04.2024 um 13:48:18 Uhr
Goto Top
Diese Blacklist meinte ich damit eingerichtet zu haben wenn ich "Zulassen, wenn Filter nicht passt" gewählt habe. Denn im Filter ist das Netzwerk 66.175.208.0/255.255.255.0 angegeben. Das verstehe ich so, dass alles was nicht von diesem Netzwerk kommt zugelassen wird.

Das stimmt schon. Du hast da ein paar IPs gesperrt. Nur lässt du da alle IPs in dein Netz, die nicht aus diesem IP-Bereich kommen. Z.B. 66.175.209.1 ist zugelassen.
Du willst aber alles aus dem Netz sperren, aber alle anderen nicht freigeben. Daher alles sperren und nur dir bekannte IPs freigeben. Ist deutlich weniger Arbeit.

Du solltest dir vielleicht erstmal Gedanken machen, wer denn tatsächlich so alles in dein Netz darf. Wenn du das aufs Papier bringst, tust du dir auch mit den Regeln leichter.
bubblegun
bubblegun 16.04.2024 um 14:09:39 Uhr
Goto Top
Die be.ip plus kann NAT-Regeln definieren und hat grundsätzlich eine Firewall.
In der Firewall gibt es Standardfilterregeln mit "vertrauenswürdigen" und "nicht vertrauenswürdigen" Schnittstellen. Dort werden erstmal alle Zugriffe aus den "nicht vertrauenswürdigen" Schnittstellen verweigert. Dann gebe ich dort in der Firewall an, wer über welche Schnittstelle wohin zugreifen darf. Da sind dann halt die Kameras, Telefonanlage und NAS für den Zugriff vom WAN aus freigegeben. Es fanden früher mal ein paar Login-Versuche auf den Kameras statt, aber es wird immer mehr. Der Syslog-Server zeigt mir aber ansonsten keinerlei Zugriffsversuche! Und deshalb wollte ich das gerne mit einer Blacklist machen, weil die legalen Einwahlversuche von den IP's her doch recht breit gestreut sind, je nachdem von woher sich ein User einloggt.
aqui
aqui 02.05.2024 um 13:54:57 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?
bubblegun
bubblegun 02.05.2024 um 16:47:21 Uhr
Goto Top
Nein, ich bin da noch nicht weiter gekommen, weil ich irgendwo einen Fehler eingebaut habe: Netzwerk 206.168.34.0/24 ist in den Filterregeln eingetragen mit "verweigern wenn Filter passt". Meines erachtens dürfte der gar nicht mehr bis zum Login der Kamera durchkommen. Trotzdem lese ich im Log der Kamera, dass ein Zugriffsversuch von 206.168.34.127 abgewiesen wurde.
aqui
aqui 02.05.2024 um 18:48:05 Uhr
Goto Top
Vermutlich hast du nicht auf dem Radar das die Firewall Regeln nur inbound (also vom Netzwerk Draht in die FW) gelten und damit dann nicht greifen. Zu 98% also ein selbstgemachter Fehler im Regelwerk.
bubblegun
bubblegun 03.05.2024 um 10:22:30 Uhr
Goto Top
Yep, da hast Du recht!
Aber wenn jemand über das WAN auf Geräte im Netzwerk (Bridge_0) zugreifen will, unterliegt er doch den Firewall-Regeln die für Bridge_0 gelten, oder habe ich auch da einen Denkfehler drin?
Um die Situation noch einmal zu schildern: WLAN mal außen vor, gibt es zwei Subnetze, Bridge_0 und LAN1_4. Zugriff von Bridge_0 auf LAN1_4 ist lauf Firewall komplett gesperrt. Zugriff auf die Kameras in Bridge_0 ist über das WAN möglich, soll aber mit der Filterregel bestimmter IP-Netze eingeschränkt werden.
Wo ist mein Denkfehler?
aqui
aqui 03.05.2024 aktualisiert um 17:25:40 Uhr
Goto Top
unterliegt er doch den Firewall-Regeln die für Bridge_0 gelten
Nein, das ist komplett falsch!
Wenn man über das WAN zugreifen will wie du sagst, ist ja der erste Punkt wo dieser Traffic auftaucht logischerweise eingehend am WAN Interface!! Dort wird also sinnvollerweise zuallerst gefiltert. Da die Firewall eine stateful Firewall ist darf Antworttraffic von einem Ziel im LAN dann immer passieren (gesetztes ACK Bit)
oder habe ich auch da einen Denkfehler drin?
Einen ziemlich fatalen sogar!
Aber eigentlich sagt einem das doch auch der gesunde IT Verstand. Wenn Traffic extern initiiert wird und am WAN Port eingehend dann ankommt muss doch logischerweise auch am WAN Port inbound gefiltert werden!
gibt es zwei Subnetze, Bridge_0 und LAN1_4
Was genau heisst das?? Bridge_0 fasst dann gewöhnlich mehrere Ports in einem L2 Switch zusammen an dem ein Router/Firewall bei klemmt. Das ist OK.
Was aber muss man sich unter "LAN1_4" vorstellen? 🤔 LAN Modul 1 und dort Port 4???
4 dedizierte Routing Ports können es ja nicht sein, denn dann hättest du zwingend 5 Subnetze.
Eine weitere Bridge die die Ports "1-4" zusammenfassen ja auch nicht, denn dann bräuchtest du 2 getrennte Bridges.
Was also ist mit diesem Rätsel gemeint? Nicht das du hier auch noch einen grundätzlichen Designfehler verbrochen hast im Setup?!
bubblegun
bubblegun 03.05.2024 um 20:17:54 Uhr
Goto Top
Mensch aqui, woher soll der gesunde IT-Verstand denn kommen?
Ich stochere hier mehr oder weniger im Nebel, versuche das alles irgendwie zu verstehen, liege dabei aber nicht immer ganz richtig, wie Du treffend erkannt hast. Bridge_0 sind die restlichen 4 Ports des integrierten L3-Switches im Router. Die Bezeichnung LAN1_4 ist die (bei Elmeg) gebräuchliche Bezeichnung für den 5. Port des integrierten Switches, der dem weiteren Subnetz zugeteilt/konfiguriert ist.
In der Firewall habe ich den Zugriff von Bridge_0 auf LAN1_4 verboten, und das funktioniert auch klaglos. Heißt, alle Rechner und Geräte die in Bridge_0 sind, haben keinen Zugriff auf die Rechner die in LAN1_4 beheimatet sind, antworten aber selbstverständlich auf Anfragen aus LAN1_4.
Jetzt muss ich also die Filterregeln auf die Schnittstelle WAN verlegen?
aqui
Lösung aqui 03.05.2024 um 20:39:30 Uhr
Goto Top
Einem Switch kann man keinen Subnetz Port zuteilen. Es ist auch wichtig das dedizierte Routing Ports die ein Subnetz bedienen unbedingt von der Switch bzw. Bridge Funktion ausgenommen sind!!
Eine Router kann auch niemals einen L3 (Routing) Switch embeddet haben. Das wäre doppelt gemoppelt.
In der allemeisten Fällen ist es bei Router oder Firewall HW so das generell alle Ports dedizierete Routing Ports sind. Möchte man einige aber zusammenfassend in einem Netz betreiben weil man z.B. mehrere Endgeräte anschliessen möchte fast man diese dann als Bridge zusammen und hängt das Subnetz an das Bridge Interface.
Ein übliches Prozedere bei so gut wie allen Herstellern. Diese Bridge Memberports dürfen dann aber niemals mehr anderen gerouteten Netzen zugeteilt werden. Meist verhindert die Konfig sowas auch schon aus syntaktischer Sicht was ja richtig ist.
To make a long story short.
Wenn Port 1_4 der 5te Port und damit dein WAN Port ist, und damit NICHT Member der Bridge_0 (welche ja dann nur die Ports 0 bis 3 sein dürfen) muss dein Regelwerk natürlich dann auf den WAN Port (1_4 oder 5ter Port). Wie sollte es anders sein. Dort kommt ja dein Traffic rein den du NICHT haben willt und genau dann dort auch blocken willst. Einfache Logik! face-wink
Jetzt muss ich also die Filterregeln auf die Schnittstelle WAN verlegen?
So ist es, wenn von dort dein Traffic reinkommt!
bubblegun
bubblegun 04.05.2024 aktualisiert um 09:36:06 Uhr
Goto Top
Noch ein Punkt zur Klarstellung: Ich meinte für die Ethernet-Ports am Router deshalb L3, weil die einzeln zu konfigurieren sind, nicht so wie bei vielen Routern nur ein "angehängter" Switch sind.
portkonfig
WAN ist bei mir ethoa_35, das integrierte DSL-Modem, Bridge_0 ist LAN0-2, manchmal auch weniger, wenn ich für bestimmte neue Geräte vorübergehend ein neues Subnetz erstellen muss. Ich hab das inzwischen auch gefunden, kann die Schnittstelle auf WAN legen, mal beobachten was sich da tut.
Danke für Deine doch sehr hilfreiche Führung, komme immer besser rein face-smile
aqui
aqui 04.05.2024 aktualisiert um 11:30:28 Uhr
Goto Top
nicht so wie bei vielen Routern nur ein "angehängter" Switch sind.
Das ist nur bei den einfachen und billigen Consumer Systemen so. Dort kann man die Switchports auch nicht customizen womit so oder so 98% der Benutzer überfordert wären.
Alle etwas besseren Router oder Firewalls lassen, wie bei dir, die individuelle Konfiguration dieser Ports zu. Ob man sie als Bridge in einer Layer 2 Domain zusammenfasst oder als dedizierte Router Ports betreibt ist dann Konfigurationssache. Letztlich genau das was du oben auch schon richtig beschreibst.
bubblegun
bubblegun 05.05.2024 aktualisiert um 09:23:33 Uhr
Goto Top
Noch einmal vielen Dank für Deine Hilfe.
Ich werde jetzt mal die Angelegenheit weiter beobachten und notieren, weil man sich in meinem Alter nix mehr merken kann. Es ist jetzt recht ruhig geworden mit den illegalen Login-Versuchen, bin mir aber nicht ganz sicher, ob ein gewisser "censys-scanner.com" da immer noch durchkommt.
Offensichtlich ist das Ergebnis jetzt so wie es sein soll. Auf den Kameras sind seit dem 03.05.24 20:00 Uhr keine Zugriffsversuche mehr im Log!
aqui
aqui 05.05.2024 um 10:09:40 Uhr
Goto Top
keine Zugriffsversuche mehr im Log!
Works as designed! 👍