LANCOM: Firewall Whitelist für DNS-Adressen
Hallo zusammen,
ich möchte gerne auf meinem LANCOM-Router für die Telefonanlage eine explizite Deny-all-Strategie aufbauen, bei der ich Whiteliste, mit welchen Stationen auf welchen Ports und Protokollen gesprochen werden darf. Dazu würde ich gerne Außnahmen für bestimmte Domainnamen erstellen. Ich hatte Erfolg, in der Konfiguration unter Verbindungsziel ein neues Stationsobjet anzulegen vom Typ Gegenstelle. Hier kann ich dann den Domain-Namen eintragen. Mein Problem ist, dass dies nur für kurze Domainnamen bis 19 Zeichen funktioniert (wie bspw. tel.t-online.de). Sobald ich eine längere Domain whitelisten möchte, schneidet das die Konfiguration ab. Trage ich die Domains vielleicht an der falschen Stelle ein?
Peter
ich möchte gerne auf meinem LANCOM-Router für die Telefonanlage eine explizite Deny-all-Strategie aufbauen, bei der ich Whiteliste, mit welchen Stationen auf welchen Ports und Protokollen gesprochen werden darf. Dazu würde ich gerne Außnahmen für bestimmte Domainnamen erstellen. Ich hatte Erfolg, in der Konfiguration unter Verbindungsziel ein neues Stationsobjet anzulegen vom Typ Gegenstelle. Hier kann ich dann den Domain-Namen eintragen. Mein Problem ist, dass dies nur für kurze Domainnamen bis 19 Zeichen funktioniert (wie bspw. tel.t-online.de). Sobald ich eine längere Domain whitelisten möchte, schneidet das die Konfiguration ab. Trage ich die Domains vielleicht an der falschen Stelle ein?
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 464796
Url: https://administrator.de/forum/lancom-firewall-whitelist-fuer-dns-adressen-464796.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
8 Kommentare
Neuester Kommentar
Hi
eine Gegenstelle ist ein Objekt, das ein deinem Fall wiederum für eine "Internetverbindung" auf deinem Lancom steht. Damit geht das überhaupt nicht.
Was du vor hast geht IMHO mit Lancoms nicht, da die nicht in der Lage sind die Source oder Destination auf einen DNS Namen aufzulösen. Da musst du schon selbst die IP deiner Destination eintragen und hoffen das sich diese nicht mehr ändert.
eine Gegenstelle ist ein Objekt, das ein deinem Fall wiederum für eine "Internetverbindung" auf deinem Lancom steht. Damit geht das überhaupt nicht.
Was du vor hast geht IMHO mit Lancoms nicht, da die nicht in der Lage sind die Source oder Destination auf einen DNS Namen aufzulösen. Da musst du schon selbst die IP deiner Destination eintragen und hoffen das sich diese nicht mehr ändert.
Es kommt wie immer bei solchen speziellen Anforderungen auf die Router HW an. Mit einem Cisco und einer ZFW Firewall z.B. klappt sowas fehlerlos.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mahlzeit,
wie SeaStorm schon schreibt, geht das mit einem Lancom-Router so nicht. Da brauchst du auch nicht mit den Gegenstellen experimentieren, das hat damit nichts zu tun.
Du könntest dir zur Not damit behelfen, das du in der Firewall eine "Deny-all-Regel" ausgehend für die Telefonanlage anlegst:
Dann geht von der Telefonanlage erstmal nichts mehr ins Internet. Dann gibst du frei, wohin die Telefonanlage connecten darf
Bei wenigen Adressen, zu denen die Anlage verbinden darf, geht das. Bei vielen Adressen bläst du natürlich deine Firewall-Rules unnötig auf.
Alternativ hast du im Lancom-Router noch einen DNS-Filter, in dem du für einzelne Geräte oder Teilnetze bestimmte Domänen sperren kannst.
Gruß NV
Edit: Lancom-Professor tikayevent war schneller Geht mit LCOS 10.30? Muss ich gleich mal versuchen.
wie SeaStorm schon schreibt, geht das mit einem Lancom-Router so nicht. Da brauchst du auch nicht mit den Gegenstellen experimentieren, das hat damit nichts zu tun.
Du könntest dir zur Not damit behelfen, das du in der Firewall eine "Deny-all-Regel" ausgehend für die Telefonanlage anlegst:
Quelle "IP der Telefonanlage" - Quelldienst "alle" - Ziel "alle" - Zieldienst "alle" - Aktion "zurückweisen"
Dann geht von der Telefonanlage erstmal nichts mehr ins Internet. Dann gibst du frei, wohin die Telefonanlage connecten darf
Quelle "IP der Telefonanlage" - Quelldienst "alle" - Ziel "IP des erlaubten Ziels" - Zieldienst "z.B. https" - Aktion "übertragen"
Bei wenigen Adressen, zu denen die Anlage verbinden darf, geht das. Bei vielen Adressen bläst du natürlich deine Firewall-Rules unnötig auf.
Alternativ hast du im Lancom-Router noch einen DNS-Filter, in dem du für einzelne Geräte oder Teilnetze bestimmte Domänen sperren kannst.
Gruß NV
Edit: Lancom-Professor tikayevent war schneller Geht mit LCOS 10.30? Muss ich gleich mal versuchen.
Servus,
mit LCOS 10.30 funktioniert es. Im Menü "Firewall - Allgemein - DNS-Ziele" kann man Namen wie z.B. YOUTUBE anlegen. Dann zu dem Namen die Domains, ggf. mit Wildcards, definieren.
Es können auch DNS-Ziellisten angelegt werden. D.h. man benennt eine Liste und ordnet der Liste die zuvor definierten DNS-Ziele zu.
Dann könnte man für die Telefonanlage eine Deny-All-Regel in der Firewall bauen und mit einer zweiten Regel dann wieder die in der DNS-Zielliste definierten Zieldomänen erlauben.
Gruß NV
mit LCOS 10.30 funktioniert es. Im Menü "Firewall - Allgemein - DNS-Ziele" kann man Namen wie z.B. YOUTUBE anlegen. Dann zu dem Namen die Domains, ggf. mit Wildcards, definieren.
Es können auch DNS-Ziellisten angelegt werden. D.h. man benennt eine Liste und ordnet der Liste die zuvor definierten DNS-Ziele zu.
Dann könnte man für die Telefonanlage eine Deny-All-Regel in der Firewall bauen und mit einer zweiten Regel dann wieder die in der DNS-Zielliste definierten Zieldomänen erlauben.
Gruß NV
Hallo Peter,
schön, wenn dir geholfen werden konnte. Hier noch Lesestoff:
Lancom Firewall Deny all 1
Lancom Firewall Deny all 2
Gruß NV
schön, wenn dir geholfen werden konnte. Hier noch Lesestoff:
Lancom Firewall Deny all 1
Lancom Firewall Deny all 2
Gruß NV