bobbin
Goto Top

Routing vs. Firewall

Hallo zusammen,

aus meinem privaten Netz möchte ich gern per https auf einen Host im Inet zugreifen und habe dafür folgende Regel (Beispiel):

permit tcp 192.168.1.0 0.0.0.255 host 1.1.1.1 eq 443

Nun ändert der Host regelmäßig seine IP, so dass ich alle naselang diese Regel anpassen muss.
Der Name bleibt gleich, aber ich kann nicht one.one.one.one eintragen, da die Routingregeln nur IP Adressen verstehen.

Dazu folgende Frage: es gibt ja die dynamischen ACLs für die Einwahl aus Netzen mit dyn. IPs; kann ich diese für meinen Zweck anpassen?
Oder muss ich any eintragen und dann per Firewall allen anderen Verkehr wegschneiden?

Vielen Dank - Gruß Bobbin

Content-Key: 512727

Url: https://administrator.de/contentid/512727

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: aqui
Lösung aqui 07.11.2019 aktualisiert um 10:15:05 Uhr
Goto Top
Leider schreibst du rein gar nichts zur verwendeten Hardware. Auch die Thread Überschrift ist irgendwie völlig verwirrend zu dem Thema. Was haben Filter Regeln mit Routing oder Firewalling zu tun...?? face-sad
Bei einer Firewall ist das wenigstens recht einfach zu lösen...
Nutze einen Alias dafür:
https://docs.netgate.com/pfsense/en/latest/firewall/aliases.html
"The FQDN will be resolved by DNS every 5 minutes (300 seconds) and updated internally. This can be useful for tracking dynamic DNS entries to identify sites or users that are unable to use a static IP."
Falls dir der 5 Minuten Intervall nicht reicht kannst du den anpassen.
Bei einer Router ACL, die nicht stateful und nur IP basierend ist, sieht das schon anders aus. Wieder anders bei einem Router mit integrierter stateful FW. Wie gesagt leider ist für weitere zielführende Tips die Beschreibung zu oberflächlich.
Mitglied: 117471
117471 07.11.2019 aktualisiert um 10:53:23 Uhr
Goto Top
Hallo,

eine Filterregel an einen Hostname binden zu wollen, zeugt schlichweg von nicht vorhandenem Hintergrundwissen.

Wie soll die Firewall denn sicherstellen, dass das DNS authentisch ist und nicht z.B. kompromittiert wurde?

Wenn der angesprochene Host wichtig ist, sollte auch das Geld für eine statische IP drin sein.

Abgesehen davon spricht nichts dagegen, Port 443 dauerhaft freizuschalten. Wer Leute am surfen hindern will, kennt bessere Möglichkeiten.

Gruß,
Jörg
Mitglied: aqui
aqui 07.11.2019 um 13:53:20 Uhr
Goto Top
Und wenn es eine statische ACL ist und der Server immer im Bereich 1.1.x.x bis 1.1.y.y wechselt reicht es ja auch eine Range einzugegeben um einigermaßen eine Einschränkung zu bekommen ala:
permit tcp 192.168.1.0 0.0.0.255 1.1.0.0 0.0.255.255 eq 443

Je nach verwendeter IP Range des Hosts kann man das dann auch noch weiter dichtziehen wenn man will.
Mitglied: Bobbin
Bobbin 11.11.2019 um 12:12:45 Uhr
Goto Top
Zitat von @117471:
eine Filterregel an einen Hostname binden zu wollen, zeugt schlichweg von nicht vorhandenem Hintergrundwissen.

Deswegen frage ich - mir fehlt das hintergrundwissen

Wie soll die Firewall denn sicherstellen, dass das DNS authentisch ist und nicht z.B. kompromittiert wurde?

Dafür hat man offensichtlich Aliase eingeführt.

Wenn der angesprochene Host wichtig ist, sollte auch das Geld für eine statische IP drin sein.

Es ist kein Host - es ist ein reduntantes Load-Balancer-Pärchen vor einer Hochverfügbarkeitszone. Die beiden wechseln halt nur die IPs wie andere die Unterhosen.

Abgesehen davon spricht nichts dagegen, Port 443 dauerhaft freizuschalten.

Oh, ein Kennertipp. Werd ich trotzdem nicht riskieren.

Wer Leute am surfen hindern will, kennt bessere Möglichkeiten.

Es geht nicht um Surfen. Aber da ist das fehlende Hintergrundwissen...

Trotzdem vielen Dank für Deinen Beitrag, der mir so gar nicht geholfen hat.

Gruß Bobbin
Mitglied: Bobbin
Bobbin 11.11.2019 um 12:15:19 Uhr
Goto Top
Vielen Dank aqui für Deine Tipps. Ich muss die HW noch in Erfahrung bringen, offensichtlich kann die kein FQDN. Aber die Richtung Aliase hilft mir schon mal weiter.

Der Adressrange lässt sich leider nicht eingrenzen, da ist Anbieter und Kunde wild vermischt.

Gruß Bobbin
Mitglied: aqui
aqui 11.11.2019 aktualisiert um 12:25:22 Uhr
Goto Top
Ich muss die HW noch in Erfahrung bringen,
Nach der ACL Syntax zu urteilen sieht das nach Cisco aus. face-wink
Aber da viele andere das abkupfern kann es auch andere Hardware sein. Das ist aber wichtig zu wissen natürlich denn die ACL Features sind bei jedem Hersteller anders wie man als Netzwerker weiss.
Mitglied: 117471
117471 11.11.2019 um 13:12:09 Uhr
Goto Top
Hallo,

Dafür hat man offensichtlich Aliase eingeführt.

Jein.

Wie gesagt - Du weißt nicht, ob die Daten im DNS (immer noch) korrekt sind oder ob diese z.B. via MitM oder direkt auf dem DNS kompromittiert wurden.

Insofern knüpfst Du deine Filterregel an eine Information, die Du ungeprüft als gegeben hinnehmen musst ohne sie großartig verifizieren zu können. So rein sicherheitstechnisch sehe ich da keinen Gewinn und genau das wollte ich mit meinem Beitrag ausdrücken.

Aber macht Ihr mal face-smile

Gruß,
Jörg
Mitglied: Bobbin
Bobbin 12.11.2019 um 16:32:32 Uhr
Goto Top
Nun ja, entweder stellt man den DNS mit in die vertrauenswürdige Zone oder lässt den halt auf 8.8.8.8 zeigen.

Es müssten immer noch zwei voneinander unabhängige Instanzen manipuliert werden, daher sehe ich die Sicherheit als erhöht an, gegenüber der kompletten Öffnung wie von Dir vorgeschlagen.

Es ist im übrigen ein Cisco, aber ob der fqdn beherrscht, bleibt abzuwarten.

Gruß Bobbin
Mitglied: aqui
aqui 12.11.2019 um 19:10:51 Uhr
Goto Top
oder lässt den halt auf 8.8.8.8 zeigen.
Sollte man niemals machen, denn jeder Dummie weiss ja mittlerweile das Google damit Profile erstellt und mit Dritten vermarktet. Da kann man dann auch gleich nackt durch die Innenstadt laufen...
Wenn dann sind freundlichere DNS wie Quad9 erheblich sinnvoller:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal sollte man so oder so keine DNS Server am anderen Ende der Welt nehmen (Laufzeit und Antwortzeit) sondern die des lokalen Providers.
Mitglied: Bobbin
Bobbin 15.11.2019 um 10:17:15 Uhr
Goto Top
Du hast ja recht; der primäre DNS ist der des lokalen Providers (am anderen Ende der Welt), der sekundäre dann Google. Welche Profile Google dann über eine einzelne Anfrage im 5min Intervall, die von der Pampa in die Pampa zeigt, erstellt, ist mir herzlich egal.

Nur das mit den Dummie und niemals ist irgendwie ein Eigentor.

Gruß Bobbin
Mitglied: aqui
aqui 15.11.2019 um 14:21:15 Uhr
Goto Top
Wie sollte man es denn sonst nennen wenn jemand seine Privatsphäre offenlegt und nackt vor Google steht ?! face-wink
Aber auch egal...muss ja jeder selber wissen !