8
LANCOM: Firewall Whitelist für DNS-Adressen
Hallo zusammen,
ich möchte gerne auf meinem LANCOM-Router für die Telefonanlage eine explizite Deny-all-Strategie aufbauen, bei der ich Whiteliste, mit welchen Stationen auf welchen Ports und Protokollen gesprochen werden darf. Dazu würde ich gerne Außnahmen für bestimmte Domainnamen erstellen. Ich hatte Erfolg, in der Konfiguration unter Verbindungsziel ein neues Stationsobjet anzulegen vom Typ Gegenstelle. Hier kann ich dann den Domain-Namen eintragen. Mein Problem ist, dass dies nur für kurze Domainnamen bis 19 Zeichen funktioniert (wie bspw. tel.t-online.de). Sobald ich eine längere Domain whitelisten möchte, schneidet das die Konfiguration ab. Trage ich die Domains vielleicht an der falschen Stelle ein?
Peter
ich möchte gerne auf meinem LANCOM-Router für die Telefonanlage eine explizite Deny-all-Strategie aufbauen, bei der ich Whiteliste, mit welchen Stationen auf welchen Ports und Protokollen gesprochen werden darf. Dazu würde ich gerne Außnahmen für bestimmte Domainnamen erstellen. Ich hatte Erfolg, in der Konfiguration unter Verbindungsziel ein neues Stationsobjet anzulegen vom Typ Gegenstelle. Hier kann ich dann den Domain-Namen eintragen. Mein Problem ist, dass dies nur für kurze Domainnamen bis 19 Zeichen funktioniert (wie bspw. tel.t-online.de). Sobald ich eine längere Domain whitelisten möchte, schneidet das die Konfiguration ab. Trage ich die Domains vielleicht an der falschen Stelle ein?
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 464796
Url: https://administrator.de/contentid/464796
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Hi
eine Gegenstelle ist ein Objekt, das ein deinem Fall wiederum für eine "Internetverbindung" auf deinem Lancom steht. Damit geht das überhaupt nicht.
Was du vor hast geht IMHO mit Lancoms nicht, da die nicht in der Lage sind die Source oder Destination auf einen DNS Namen aufzulösen. Da musst du schon selbst die IP deiner Destination eintragen und hoffen das sich diese nicht mehr ändert.
eine Gegenstelle ist ein Objekt, das ein deinem Fall wiederum für eine "Internetverbindung" auf deinem Lancom steht. Damit geht das überhaupt nicht.
Was du vor hast geht IMHO mit Lancoms nicht, da die nicht in der Lage sind die Source oder Destination auf einen DNS Namen aufzulösen. Da musst du schon selbst die IP deiner Destination eintragen und hoffen das sich diese nicht mehr ändert.
Alles klar, vielen Dank. Ja, das hatte ich schon befürchtet, dann werde ich wohl darauf verzichten müssen, die Whitelist so fein-granular zu machen.
Es kommt wie immer bei solchen speziellen Anforderungen auf die Router HW an. Mit einem Cisco und einer ZFW Firewall z.B. klappt sowas fehlerlos.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Geht mittlerweile. Siehe LANCOM-KB. Benötigt aber LCOS 10.30.
Mahlzeit,
wie SeaStorm schon schreibt, geht das mit einem Lancom-Router so nicht. Da brauchst du auch nicht mit den Gegenstellen experimentieren, das hat damit nichts zu tun.
Du könntest dir zur Not damit behelfen, das du in der Firewall eine "Deny-all-Regel" ausgehend für die Telefonanlage anlegst:
Dann geht von der Telefonanlage erstmal nichts mehr ins Internet. Dann gibst du frei, wohin die Telefonanlage connecten darf
Bei wenigen Adressen, zu denen die Anlage verbinden darf, geht das. Bei vielen Adressen bläst du natürlich deine Firewall-Rules unnötig auf.
Alternativ hast du im Lancom-Router noch einen DNS-Filter, in dem du für einzelne Geräte oder Teilnetze bestimmte Domänen sperren kannst.
Gruß NV
Edit: Lancom-Professor tikayevent war schneller
Geht mit LCOS 10.30? Muss ich gleich mal versuchen.
wie SeaStorm schon schreibt, geht das mit einem Lancom-Router so nicht. Da brauchst du auch nicht mit den Gegenstellen experimentieren, das hat damit nichts zu tun.
Du könntest dir zur Not damit behelfen, das du in der Firewall eine "Deny-all-Regel" ausgehend für die Telefonanlage anlegst:
Quelle "IP der Telefonanlage" - Quelldienst "alle" - Ziel "alle" - Zieldienst "alle" - Aktion "zurückweisen" Dann geht von der Telefonanlage erstmal nichts mehr ins Internet. Dann gibst du frei, wohin die Telefonanlage connecten darf
Quelle "IP der Telefonanlage" - Quelldienst "alle" - Ziel "IP des erlaubten Ziels" - Zieldienst "z.B. https" - Aktion "übertragen" Bei wenigen Adressen, zu denen die Anlage verbinden darf, geht das. Bei vielen Adressen bläst du natürlich deine Firewall-Rules unnötig auf.
Alternativ hast du im Lancom-Router noch einen DNS-Filter, in dem du für einzelne Geräte oder Teilnetze bestimmte Domänen sperren kannst.
Gruß NV
Edit: Lancom-Professor tikayevent war schneller
Geht mit LCOS 10.30? Muss ich gleich mal versuchen.
Servus,
mit LCOS 10.30 funktioniert es. Im Menü "Firewall - Allgemein - DNS-Ziele" kann man Namen wie z.B. YOUTUBE anlegen. Dann zu dem Namen die Domains, ggf. mit Wildcards, definieren.
Es können auch DNS-Ziellisten angelegt werden. D.h. man benennt eine Liste und ordnet der Liste die zuvor definierten DNS-Ziele zu.
Dann könnte man für die Telefonanlage eine Deny-All-Regel in der Firewall bauen und mit einer zweiten Regel dann wieder die in der DNS-Zielliste definierten Zieldomänen erlauben.
Gruß NV
mit LCOS 10.30 funktioniert es. Im Menü "Firewall - Allgemein - DNS-Ziele" kann man Namen wie z.B. YOUTUBE anlegen. Dann zu dem Namen die Domains, ggf. mit Wildcards, definieren.
Es können auch DNS-Ziellisten angelegt werden. D.h. man benennt eine Liste und ordnet der Liste die zuvor definierten DNS-Ziele zu.
Dann könnte man für die Telefonanlage eine Deny-All-Regel in der Firewall bauen und mit einer zweiten Regel dann wieder die in der DNS-Zielliste definierten Zieldomänen erlauben.
Gruß NV
Vielen herzlichen Dank an tikayevent und NixVerstehen! Nach dem Update von LANConfig habe ich das sofort an der von Dir beschriebenen Stelle in der Konfiguration gefunden! Klasse, dass das nun auch mit LANCOM geht. Vielen Dank nochmals für all Eure Bemühungen.
Ein schönes Wochenende!
Peter
Ein schönes Wochenende!
Peter
Hallo Peter,
schön, wenn dir geholfen werden konnte. Hier noch Lesestoff:
Lancom Firewall Deny all 1
Lancom Firewall Deny all 2
Gruß NV
schön, wenn dir geholfen werden konnte. Hier noch Lesestoff:
Lancom Firewall Deny all 1
Lancom Firewall Deny all 2
Gruß NV
