2
Sinnvolle Forward Chain definieren - oder benötigt man nur Input? (Router OS bzw IPTables)
Moin zusammen,
ich mache hierfür einen eigenen Thread auf, weil mein "Routerproblem" gelöst ist und ich mich nun mit der Firewall beschäftige und dazu leider noch ein Mal Hilfe benötige...
Also: Ich habe in einem RouterOS im Mikrotik 750GL folgende Konfiguration:
Port 1: WAN
Port 2: Master für LAN1
Port 3-4: Switching auf Port 2
Port 5: Master für LAN2 (und einziger Port)
Internet läuft und Portscans zeigen: Ist auch "sicher". Sprich: Ich habe die Input-Regeln und NAT konfiguriert...
Meine Frage ist nun: Muss ich die Forward Chain und mit Filtern belegen? Mir ist noch nicht ganz klar, was wirklich durch die Forward-Chain gehen wird.
Klar ist - LAN zu LAN Traffic. Aber das ist okay, da brauche ich vorerst keine Regel, da darf alles durch.
Nur WAN-zu-LAN und ggf. LAN-zu-WAN und möchte ich schützen (unter natürlich WAN-ROUTER, aber das habe ich ja mit den Input-Regeln bereits getan). Nun haben wir ja NAT - muss ich also überhaupt noch auf die Forward-Chains gucken oder läuft ohnehin alles über INPUT?
Also: Wenn ich eine neue Verbindung öffne und mit einen Client auf einen Internet-Server möchte, dann gehe ich doch an den Router, der wandelt die IP, ergo müsste das über Input laufen und nicht Forward und zurück ebenso (weil der Router die Pakete bearbeitet und es kein reines Durchrouten ist)?
Wenn dem so ist, dann müsste ich mir ja über Forward-Regeln keine Gedanken machen, wenn es nur um WAN geht. Aber irgendwie ist das unlogisch, denn ganz klar ist: Droppe ich Forward, komme ich mit dem Client nichts ins Netz. Also wird dort auch eine Forward-Regel greifen (wenn dem nicht so wäre, dann müssten meine Input-Regeln auch viel zu hart sein, da keiner neue Verbindungen aufbauen könnte).
Also gehe ich davon aus, dass beim LAN-zu-WAN doch die Forward-Chain angesprochen wird aber bei WAN-zu-LAN nicht? Da nur Input?
Ihr seht - ich verstehe es einfach noch nicht ganz und mir fehlt noch so der Aha-Effekt. Leider finde ich im Netz nicht etwas, was mir das erklärt. Das scheint so einfach zu sein, dass das sonst jeder weiß :o
Vielleicht könnt ihr mich dennoch aufschlauen! Danke!
VG, Garlic
ich mache hierfür einen eigenen Thread auf, weil mein "Routerproblem" gelöst ist und ich mich nun mit der Firewall beschäftige und dazu leider noch ein Mal Hilfe benötige...
Also: Ich habe in einem RouterOS im Mikrotik 750GL folgende Konfiguration:
Port 1: WAN
Port 2: Master für LAN1
Port 3-4: Switching auf Port 2
Port 5: Master für LAN2 (und einziger Port)
Internet läuft und Portscans zeigen: Ist auch "sicher". Sprich: Ich habe die Input-Regeln und NAT konfiguriert...
Meine Frage ist nun: Muss ich die Forward Chain und mit Filtern belegen? Mir ist noch nicht ganz klar, was wirklich durch die Forward-Chain gehen wird.
Klar ist - LAN zu LAN Traffic. Aber das ist okay, da brauche ich vorerst keine Regel, da darf alles durch.
Nur WAN-zu-LAN und ggf. LAN-zu-WAN und möchte ich schützen (unter natürlich WAN-ROUTER, aber das habe ich ja mit den Input-Regeln bereits getan). Nun haben wir ja NAT - muss ich also überhaupt noch auf die Forward-Chains gucken oder läuft ohnehin alles über INPUT?
Also: Wenn ich eine neue Verbindung öffne und mit einen Client auf einen Internet-Server möchte, dann gehe ich doch an den Router, der wandelt die IP, ergo müsste das über Input laufen und nicht Forward und zurück ebenso (weil der Router die Pakete bearbeitet und es kein reines Durchrouten ist)?
Wenn dem so ist, dann müsste ich mir ja über Forward-Regeln keine Gedanken machen, wenn es nur um WAN geht. Aber irgendwie ist das unlogisch, denn ganz klar ist: Droppe ich Forward, komme ich mit dem Client nichts ins Netz. Also wird dort auch eine Forward-Regel greifen (wenn dem nicht so wäre, dann müssten meine Input-Regeln auch viel zu hart sein, da keiner neue Verbindungen aufbauen könnte).
Also gehe ich davon aus, dass beim LAN-zu-WAN doch die Forward-Chain angesprochen wird aber bei WAN-zu-LAN nicht? Da nur Input?
Ihr seht - ich verstehe es einfach noch nicht ganz und mir fehlt noch so der Aha-Effekt. Leider finde ich im Netz nicht etwas, was mir das erklärt. Das scheint so einfach zu sein, dass das sonst jeder weiß :o
Vielleicht könnt ihr mich dennoch aufschlauen! Danke!
VG, Garlic
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 244707
Url: https://administrator.de/forum/sinnvolle-forward-chain-definieren-oder-benoetigt-man-nur-input-router-os-bzw-iptables-244707.html
Ausgedruckt am: 15.04.2025 um 16:04 Uhr
2 Kommentare
Neuester Kommentar
Sers,
da empfehle ich dir mal diese schönen Artikel im Mikrotik Wiki: Manual:Packet Flow und Manual:Packet Flow v6.
Simulier mit den Diagrammen mal deine LAN->LAN, WAN->LAN und LAN->WAN Verbindungen. Dann sollte vieles klarer werden.
Grüße,
Philip
da empfehle ich dir mal diese schönen Artikel im Mikrotik Wiki: Manual:Packet Flow und Manual:Packet Flow v6.
Simulier mit den Diagrammen mal deine LAN->LAN, WAN->LAN und LAN->WAN Verbindungen. Dann sollte vieles klarer werden.
Grüße,
Philip
Kurzes Fazit:
Wenn man sich mit RouterOS beschäftigt, versteht man natürlich auch die Firewall immer besser und inzwischen muss ich selbst über meine Frage schmunzeln - auf der anderen Seite denke ich bis heute, es ist einfach nirgends wirklich "gut" erläutert im Sinne von einem Mehrstufen-Modell, in dem man einfach anfangen kann und sich dann in die Tiefe liest.
Zurück zum Thema für die, die auch auf diese Frage stoßen:
Inbound ist der Router-Zugriff. Sprich: Man greift direkt auf den Router zu, z.B. durch eine IP-Adresse der Router-Ports. Das kann verschiedene Gründe haben, nicht nur die Konfiguration des Routers, auch bei anderen Services landet man bei Inbound-Zugriff.
Jedoch ein klassischer Internetzugriff auf eine direkte IP-Adresse aus dem Internet, ist ein Forward. Ebenso ein direkter Zugriff auf einen Rechner, der mit im Netz hängt. Hier soll der Router ja nur "weiterleiten", also routen (wenn es nicht am Switch im gleichen Netz hängt).
Meine Frage ist also so zu beantworten: Natürlich muss man Forward für Internetzugriffe berücksichtigen. Ein Drop bei Forwardzugriffen verhindert Internetzugriff. Forward muss also mindestens für die Ports freigegeben werden, die im Internet erreicht werden sollen (HTTP, DNS usw). Ich habe allerdings bei meinen Fordward-Regeln alle Ports freigegeben, jedoch nur für ausgehende Kommunikation. Danach wäre sich ja established und die Antwort kommt auch wieder zurück.
Eine wichtige Erkenntnis für mich als "Abschluss": Wenn man das interne Netz als "sicher" einstuft, wird man sich vor allem auf das Internet konzentrieren. Ich ist die Inbound-Regel schon sehr wichtig, denn der Router maskiert/"nattet" die ausgehende Kommunikation ja. Insofern würden Angriffe auf die IP des Routers zielen, also ein Inbound, ein Zugriff auf den Router darstellen.
So erkläre ich mir zumindest viele Beispiele, da hier oft die Forward-Regeln etwas lockerer definiert waren als die Inbounds...
Wenn man sich mit RouterOS beschäftigt, versteht man natürlich auch die Firewall immer besser und inzwischen muss ich selbst über meine Frage schmunzeln - auf der anderen Seite denke ich bis heute, es ist einfach nirgends wirklich "gut" erläutert im Sinne von einem Mehrstufen-Modell, in dem man einfach anfangen kann und sich dann in die Tiefe liest.
Zurück zum Thema für die, die auch auf diese Frage stoßen:
Inbound ist der Router-Zugriff. Sprich: Man greift direkt auf den Router zu, z.B. durch eine IP-Adresse der Router-Ports. Das kann verschiedene Gründe haben, nicht nur die Konfiguration des Routers, auch bei anderen Services landet man bei Inbound-Zugriff.
Jedoch ein klassischer Internetzugriff auf eine direkte IP-Adresse aus dem Internet, ist ein Forward. Ebenso ein direkter Zugriff auf einen Rechner, der mit im Netz hängt. Hier soll der Router ja nur "weiterleiten", also routen (wenn es nicht am Switch im gleichen Netz hängt).
Meine Frage ist also so zu beantworten: Natürlich muss man Forward für Internetzugriffe berücksichtigen. Ein Drop bei Forwardzugriffen verhindert Internetzugriff. Forward muss also mindestens für die Ports freigegeben werden, die im Internet erreicht werden sollen (HTTP, DNS usw). Ich habe allerdings bei meinen Fordward-Regeln alle Ports freigegeben, jedoch nur für ausgehende Kommunikation. Danach wäre sich ja established und die Antwort kommt auch wieder zurück.
Eine wichtige Erkenntnis für mich als "Abschluss": Wenn man das interne Netz als "sicher" einstuft, wird man sich vor allem auf das Internet konzentrieren. Ich ist die Inbound-Regel schon sehr wichtig, denn der Router maskiert/"nattet" die ausgehende Kommunikation ja. Insofern würden Angriffe auf die IP des Routers zielen, also ein Inbound, ein Zugriff auf den Router darstellen.
So erkläre ich mir zumindest viele Beispiele, da hier oft die Forward-Regeln etwas lockerer definiert waren als die Inbounds...
