eglipeter
Goto Top

LANCOM: Firewall Whitelist für DNS-Adressen

Hallo zusammen,
ich möchte gerne auf meinem LANCOM-Router für die Telefonanlage eine explizite Deny-all-Strategie aufbauen, bei der ich Whiteliste, mit welchen Stationen auf welchen Ports und Protokollen gesprochen werden darf. Dazu würde ich gerne Außnahmen für bestimmte Domainnamen erstellen. Ich hatte Erfolg, in der Konfiguration unter Verbindungsziel ein neues Stationsobjet anzulegen vom Typ Gegenstelle. Hier kann ich dann den Domain-Namen eintragen. Mein Problem ist, dass dies nur für kurze Domainnamen bis 19 Zeichen funktioniert (wie bspw. tel.t-online.de). Sobald ich eine längere Domain whitelisten möchte, schneidet das die Konfiguration ab. Trage ich die Domains vielleicht an der falschen Stelle ein?

Peter

screenshot

Content-ID: 464796

Url: https://administrator.de/forum/lancom-firewall-whitelist-fuer-dns-adressen-464796.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

SeaStorm
SeaStorm 21.06.2019 um 11:17:41 Uhr
Goto Top
Hi

eine Gegenstelle ist ein Objekt, das ein deinem Fall wiederum für eine "Internetverbindung" auf deinem Lancom steht. Damit geht das überhaupt nicht.
Was du vor hast geht IMHO mit Lancoms nicht, da die nicht in der Lage sind die Source oder Destination auf einen DNS Namen aufzulösen. Da musst du schon selbst die IP deiner Destination eintragen und hoffen das sich diese nicht mehr ändert.
eglipeter
eglipeter 21.06.2019 aktualisiert um 11:20:42 Uhr
Goto Top
Alles klar, vielen Dank. Ja, das hatte ich schon befürchtet, dann werde ich wohl darauf verzichten müssen, die Whitelist so fein-granular zu machen.
aqui
aqui 21.06.2019 aktualisiert um 12:07:16 Uhr
Goto Top
Es kommt wie immer bei solchen speziellen Anforderungen auf die Router HW an. Mit einem Cisco und einer ZFW Firewall z.B. klappt sowas fehlerlos.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
tikayevent
Lösung tikayevent 21.06.2019 um 13:04:34 Uhr
Goto Top
Geht mittlerweile. Siehe LANCOM-KB. Benötigt aber LCOS 10.30.
NixVerstehen
NixVerstehen 21.06.2019 aktualisiert um 13:43:58 Uhr
Goto Top
Mahlzeit,

wie SeaStorm schon schreibt, geht das mit einem Lancom-Router so nicht. Da brauchst du auch nicht mit den Gegenstellen experimentieren, das hat damit nichts zu tun.

Du könntest dir zur Not damit behelfen, das du in der Firewall eine "Deny-all-Regel" ausgehend für die Telefonanlage anlegst:

Quelle "IP der Telefonanlage" - Quelldienst "alle" - Ziel "alle" - Zieldienst "alle" - Aktion "zurückweisen"  

Dann geht von der Telefonanlage erstmal nichts mehr ins Internet. Dann gibst du frei, wohin die Telefonanlage connecten darf

Quelle "IP der Telefonanlage" - Quelldienst "alle" - Ziel "IP des erlaubten Ziels" - Zieldienst "z.B. https" - Aktion "übertragen"  

Bei wenigen Adressen, zu denen die Anlage verbinden darf, geht das. Bei vielen Adressen bläst du natürlich deine Firewall-Rules unnötig auf.

Alternativ hast du im Lancom-Router noch einen DNS-Filter, in dem du für einzelne Geräte oder Teilnetze bestimmte Domänen sperren kannst.

Gruß NV

Edit: Lancom-Professor tikayevent war schneller face-smile Geht mit LCOS 10.30? Muss ich gleich mal versuchen.
NixVerstehen
Lösung NixVerstehen 21.06.2019 aktualisiert um 14:21:13 Uhr
Goto Top
Servus,

mit LCOS 10.30 funktioniert es. Im Menü "Firewall - Allgemein - DNS-Ziele" kann man Namen wie z.B. YOUTUBE anlegen. Dann zu dem Namen die Domains, ggf. mit Wildcards, definieren.

Es können auch DNS-Ziellisten angelegt werden. D.h. man benennt eine Liste und ordnet der Liste die zuvor definierten DNS-Ziele zu.

Dann könnte man für die Telefonanlage eine Deny-All-Regel in der Firewall bauen und mit einer zweiten Regel dann wieder die in der DNS-Zielliste definierten Zieldomänen erlauben.

Gruß NV
eglipeter
eglipeter 21.06.2019 um 16:52:42 Uhr
Goto Top
Vielen herzlichen Dank an tikayevent und NixVerstehen! Nach dem Update von LANConfig habe ich das sofort an der von Dir beschriebenen Stelle in der Konfiguration gefunden! Klasse, dass das nun auch mit LANCOM geht. Vielen Dank nochmals für all Eure Bemühungen.

Ein schönes Wochenende!
Peter
NixVerstehen
NixVerstehen 21.06.2019 um 17:18:08 Uhr
Goto Top
Hallo Peter,

schön, wenn dir geholfen werden konnte. Hier noch Lesestoff:

Lancom Firewall Deny all 1

Lancom Firewall Deny all 2

Gruß NV