Routing vs. Firewall
Hallo zusammen,
aus meinem privaten Netz möchte ich gern per https auf einen Host im Inet zugreifen und habe dafür folgende Regel (Beispiel):
permit tcp 192.168.1.0 0.0.0.255 host 1.1.1.1 eq 443
Nun ändert der Host regelmäßig seine IP, so dass ich alle naselang diese Regel anpassen muss.
Der Name bleibt gleich, aber ich kann nicht one.one.one.one eintragen, da die Routingregeln nur IP Adressen verstehen.
Dazu folgende Frage: es gibt ja die dynamischen ACLs für die Einwahl aus Netzen mit dyn. IPs; kann ich diese für meinen Zweck anpassen?
Oder muss ich any eintragen und dann per Firewall allen anderen Verkehr wegschneiden?
Vielen Dank - Gruß Bobbin
aus meinem privaten Netz möchte ich gern per https auf einen Host im Inet zugreifen und habe dafür folgende Regel (Beispiel):
permit tcp 192.168.1.0 0.0.0.255 host 1.1.1.1 eq 443
Nun ändert der Host regelmäßig seine IP, so dass ich alle naselang diese Regel anpassen muss.
Der Name bleibt gleich, aber ich kann nicht one.one.one.one eintragen, da die Routingregeln nur IP Adressen verstehen.
Dazu folgende Frage: es gibt ja die dynamischen ACLs für die Einwahl aus Netzen mit dyn. IPs; kann ich diese für meinen Zweck anpassen?
Oder muss ich any eintragen und dann per Firewall allen anderen Verkehr wegschneiden?
Vielen Dank - Gruß Bobbin
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 512727
Url: https://administrator.de/forum/routing-vs-firewall-512727.html
Ausgedruckt am: 27.04.2025 um 22:04 Uhr
11 Kommentare
Neuester Kommentar
Leider schreibst du rein gar nichts zur verwendeten Hardware. Auch die Thread Überschrift ist irgendwie völlig verwirrend zu dem Thema. Was haben Filter Regeln mit Routing oder Firewalling zu tun...?? 
Bei einer Firewall ist das wenigstens recht einfach zu lösen...
Nutze einen Alias dafür:
https://docs.netgate.com/pfsense/en/latest/firewall/aliases.html
"The FQDN will be resolved by DNS every 5 minutes (300 seconds) and updated internally. This can be useful for tracking dynamic DNS entries to identify sites or users that are unable to use a static IP."
Falls dir der 5 Minuten Intervall nicht reicht kannst du den anpassen.
Bei einer Router ACL, die nicht stateful und nur IP basierend ist, sieht das schon anders aus. Wieder anders bei einem Router mit integrierter stateful FW. Wie gesagt leider ist für weitere zielführende Tips die Beschreibung zu oberflächlich.
Bei einer Firewall ist das wenigstens recht einfach zu lösen...
Nutze einen Alias dafür:
https://docs.netgate.com/pfsense/en/latest/firewall/aliases.html
"The FQDN will be resolved by DNS every 5 minutes (300 seconds) and updated internally. This can be useful for tracking dynamic DNS entries to identify sites or users that are unable to use a static IP."
Falls dir der 5 Minuten Intervall nicht reicht kannst du den anpassen.
Bei einer Router ACL, die nicht stateful und nur IP basierend ist, sieht das schon anders aus. Wieder anders bei einem Router mit integrierter stateful FW. Wie gesagt leider ist für weitere zielführende Tips die Beschreibung zu oberflächlich.
Hallo,
eine Filterregel an einen Hostname binden zu wollen, zeugt schlichweg von nicht vorhandenem Hintergrundwissen.
Wie soll die Firewall denn sicherstellen, dass das DNS authentisch ist und nicht z.B. kompromittiert wurde?
Wenn der angesprochene Host wichtig ist, sollte auch das Geld für eine statische IP drin sein.
Abgesehen davon spricht nichts dagegen, Port 443 dauerhaft freizuschalten. Wer Leute am surfen hindern will, kennt bessere Möglichkeiten.
Gruß,
Jörg
eine Filterregel an einen Hostname binden zu wollen, zeugt schlichweg von nicht vorhandenem Hintergrundwissen.
Wie soll die Firewall denn sicherstellen, dass das DNS authentisch ist und nicht z.B. kompromittiert wurde?
Wenn der angesprochene Host wichtig ist, sollte auch das Geld für eine statische IP drin sein.
Abgesehen davon spricht nichts dagegen, Port 443 dauerhaft freizuschalten. Wer Leute am surfen hindern will, kennt bessere Möglichkeiten.
Gruß,
Jörg
Und wenn es eine statische ACL ist und der Server immer im Bereich 1.1.x.x bis 1.1.y.y wechselt reicht es ja auch eine Range einzugegeben um einigermaßen eine Einschränkung zu bekommen ala:
permit tcp 192.168.1.0 0.0.0.255 1.1.0.0 0.0.255.255 eq 443
Je nach verwendeter IP Range des Hosts kann man das dann auch noch weiter dichtziehen wenn man will.
permit tcp 192.168.1.0 0.0.0.255 1.1.0.0 0.0.255.255 eq 443
Je nach verwendeter IP Range des Hosts kann man das dann auch noch weiter dichtziehen wenn man will.
Zitat von @117471:
eine Filterregel an einen Hostname binden zu wollen, zeugt schlichweg von nicht vorhandenem Hintergrundwissen.
eine Filterregel an einen Hostname binden zu wollen, zeugt schlichweg von nicht vorhandenem Hintergrundwissen.
Deswegen frage ich - mir fehlt das hintergrundwissen
Wie soll die Firewall denn sicherstellen, dass das DNS authentisch ist und nicht z.B. kompromittiert wurde?
Dafür hat man offensichtlich Aliase eingeführt.
Wenn der angesprochene Host wichtig ist, sollte auch das Geld für eine statische IP drin sein.
Es ist kein Host - es ist ein reduntantes Load-Balancer-Pärchen vor einer Hochverfügbarkeitszone. Die beiden wechseln halt nur die IPs wie andere die Unterhosen.
Abgesehen davon spricht nichts dagegen, Port 443 dauerhaft freizuschalten.
Oh, ein Kennertipp. Werd ich trotzdem nicht riskieren.
Wer Leute am surfen hindern will, kennt bessere Möglichkeiten.
Es geht nicht um Surfen. Aber da ist das fehlende Hintergrundwissen...
Trotzdem vielen Dank für Deinen Beitrag, der mir so gar nicht geholfen hat.
Gruß Bobbin
Vielen Dank aqui für Deine Tipps. Ich muss die HW noch in Erfahrung bringen, offensichtlich kann die kein FQDN. Aber die Richtung Aliase hilft mir schon mal weiter.
Der Adressrange lässt sich leider nicht eingrenzen, da ist Anbieter und Kunde wild vermischt.
Gruß Bobbin
Der Adressrange lässt sich leider nicht eingrenzen, da ist Anbieter und Kunde wild vermischt.
Gruß Bobbin
Ich muss die HW noch in Erfahrung bringen,
Nach der ACL Syntax zu urteilen sieht das nach Cisco aus. 
Aber da viele andere das abkupfern kann es auch andere Hardware sein. Das ist aber wichtig zu wissen natürlich denn die ACL Features sind bei jedem Hersteller anders wie man als Netzwerker weiss.
Hallo,
Jein.
Wie gesagt - Du weißt nicht, ob die Daten im DNS (immer noch) korrekt sind oder ob diese z.B. via MitM oder direkt auf dem DNS kompromittiert wurden.
Insofern knüpfst Du deine Filterregel an eine Information, die Du ungeprüft als gegeben hinnehmen musst ohne sie großartig verifizieren zu können. So rein sicherheitstechnisch sehe ich da keinen Gewinn und genau das wollte ich mit meinem Beitrag ausdrücken.
Aber macht Ihr mal
Gruß,
Jörg
Dafür hat man offensichtlich Aliase eingeführt.
Jein.
Wie gesagt - Du weißt nicht, ob die Daten im DNS (immer noch) korrekt sind oder ob diese z.B. via MitM oder direkt auf dem DNS kompromittiert wurden.
Insofern knüpfst Du deine Filterregel an eine Information, die Du ungeprüft als gegeben hinnehmen musst ohne sie großartig verifizieren zu können. So rein sicherheitstechnisch sehe ich da keinen Gewinn und genau das wollte ich mit meinem Beitrag ausdrücken.
Aber macht Ihr mal
Gruß,
Jörg
Nun ja, entweder stellt man den DNS mit in die vertrauenswürdige Zone oder lässt den halt auf 8.8.8.8 zeigen.
Es müssten immer noch zwei voneinander unabhängige Instanzen manipuliert werden, daher sehe ich die Sicherheit als erhöht an, gegenüber der kompletten Öffnung wie von Dir vorgeschlagen.
Es ist im übrigen ein Cisco, aber ob der fqdn beherrscht, bleibt abzuwarten.
Gruß Bobbin
Es müssten immer noch zwei voneinander unabhängige Instanzen manipuliert werden, daher sehe ich die Sicherheit als erhöht an, gegenüber der kompletten Öffnung wie von Dir vorgeschlagen.
Es ist im übrigen ein Cisco, aber ob der fqdn beherrscht, bleibt abzuwarten.
Gruß Bobbin
oder lässt den halt auf 8.8.8.8 zeigen.
Sollte man niemals machen, denn jeder Dummie weiss ja mittlerweile das Google damit Profile erstellt und mit Dritten vermarktet. Da kann man dann auch gleich nackt durch die Innenstadt laufen...Wenn dann sind freundlichere DNS wie Quad9 erheblich sinnvoller:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Normal sollte man so oder so keine DNS Server am anderen Ende der Welt nehmen (Laufzeit und Antwortzeit) sondern die des lokalen Providers.
Du hast ja recht; der primäre DNS ist der des lokalen Providers (am anderen Ende der Welt), der sekundäre dann Google. Welche Profile Google dann über eine einzelne Anfrage im 5min Intervall, die von der Pampa in die Pampa zeigt, erstellt, ist mir herzlich egal.
Nur das mit den Dummie und niemals ist irgendwie ein Eigentor.
Gruß Bobbin
Nur das mit den Dummie und niemals ist irgendwie ein Eigentor.
Gruß Bobbin
Wie sollte man es denn sonst nennen wenn jemand seine Privatsphäre offenlegt und nackt vor Google steht ?!
Aber auch egal...muss ja jeder selber wissen !
Aber auch egal...muss ja jeder selber wissen !
