niffchen
Goto Top

Switch D-Link DGS-1210-24 und Probleme mit ACLs

Hallo,

ich versuche mich gerade an ACLs auf dem genannten Switch. Allerdings stoße ich dabei auf für mich obskure Probleme.
Nach viel probieren habe ich meine ACLs massiv wie folgt vereinfacht und ich kann von dem genannten System (Linux) nicht mal eine Webseite aufrufen (wget) oder DNS-Abfragen durchführen (nslookup):

Ich habe für jeden der folgenden Ports eine Regel jeweils für Source Port und Destination Port abgelegt. Adressen habe ich auf „Any“ „Any“ gestellt:

TCP und UPD 53
TCP 80
TCP 443
TCP 22

Zum Schluß eine Deny auf Any-Any ohne Porteinschränkung.

Jetzt hätte ich erwartet, dass Internet ganz simpel funktionieren würde ... könnt Ihr mir sagen wo ich auf dem Schlauch stehe?

Gruß,
Jens

Content-Key: 355259

Url: https://administrator.de/contentid/355259

Printed on: April 25, 2024 at 08:04 o'clock

Member: Pjordorf
Pjordorf Nov 17, 2017 at 20:08:17 (UTC)
Goto Top
Hallo,

Zitat von @Niffchen:
ich versuche mich gerade an ACLs auf dem genannten Switch
Warum ACLs auf vdein Switch? Oder anders gefragt warum nicht in dein Router der dein Internet liefert?

Nach viel probieren habe ich meine ACLs massiv wie folgt vereinfacht und ich kann von dem genannten System (Linux) nicht mal eine Webseite aufrufen (wget) oder DNS-Abfragen durchführen (nslookup):
Das sind doch einfach nur sachen ausm Internet. Was hat dein Switch damit zu tun oder ist das dein Router?

Ich habe für jeden der folgenden Ports eine Regel jeweils für Source Port und Destination Port abgelegt
Für jeden deiner 24 bzw. 28 Ports eine Regel?

Adressen habe ich auf „Any“ „Any“ gestellt:
Was nützen dir die Regeln wenn du Any - Any machst?

TCP und UPD 53
TCP 80
TCP 443
TCP 22
Wird doch nur das Internet betreffen, oder?Was ist mit dein Router zum Internet?

Jetzt hätte ich erwartet, dass Internet ganz simpel funktionieren würde ... könnt Ihr mir sagen wo ich auf dem Schlauch stehe?
Ohne das wir deinen obskuren Netzaufbau kennen, Nö - nicht möglich.

Gerät welches in das Internet gelangt?
Switch wird in Layer 3 Modus betrieben?
Wie viele VLANs existieren bei dir?
Welche Gerätschaften sollen was wie wohin tun können?
Warum macht das nicht dein Router / Gateway?

Gruß,
Peter
Member: LordGurke
LordGurke Nov 18, 2017 updated at 00:44:28 (UTC)
Goto Top
Dein Problem wird sein, dass du Datenverkehr in die rückwärtige Richtung wegfilterst.
Du lässt zwar den Verkehr zu den erlaubten Destination-Ports zu, die Antworten von diesen Ports zu deinem lokalen Upper-Port werden dann aber verworfen.
Du müsstest daher die ACLs so konstruieren, dass diese nur auf dein Source-Netz mit dem angegebenen Ziel-Port greifen, also z.B.

Von 192.168.0.0/24
Port any
An any
Port 53
erlauben.

Zusätzlich muss zu jeder dieser Regeln eine entgegengesetzte Regel existieren, um die Antwortpakete wieder zurück zu lassen.


Um ein konkretes Beispiel für das Problem zu zeigen anhand einer DNS-Anfrage:

Der DNS-Client stellt eine Anfrage mit (sagen wir mal) Source-Port 56777 an Port 53. Diesen Traffic lässt du nun durch die ACL passieren.
Der DNS-Server wird seine Antwort von Port 53 an deinen Client an Port 56777 zurückschicken - das verwirfst du dann jedoch.

Für dich und den Client ist das am Ende erstmal schwer unterscheidbar was das Problem ist. Hier kannst du nur debuggen, indem du dich an beiden Enden mit Wireshark hinstellst und prüfst, was die Gegenstellen voneinander sehen.
Member: Niffchen
Niffchen Nov 18, 2017 at 06:39:37 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Niffchen:
ich versuche mich gerade an ACLs auf dem genannten Switch
Warum ACLs auf vdein Switch? Oder anders gefragt warum nicht in dein Router der dein Internet liefert?


OK, ich habe alles etwas kurz dargestellt, entschuldige bitte.
Ich versuche mich an diesem Projekt daheim etwas einzuarbeiten, weil ich mit Netzwerk.Hardware und den zugehörigen Konfigurationen bisher kaum Kontakt hatte. Ich bin bisher immer nur Nutzer gewesen und habe die Infrastruktur darunter genauso wie die Straße beim Auto fahren als selbstverständlich hingenommen. Nun möchte ich mich aber auch an dem Unterbau versuchen und nach und nach reinarbeiten. Dazu war mein Gedanke, dass ich auch die ACLs auf dem Layer3-Switch ausprobiere. Ich bin mir selber noch nicht einig (wohl mangels Erfahrung), ob die ACLs sinnvoll sind. Aber zumindest mal ausprobieren, verstehen und damit zum Laufen bringen wollte ich das ganze.
Am Ende kommt auch noch die Firewall auf dem Router dran und spätestens dann werde ich mir die Frage stellen, warum ich bedies einbaue oder eingeaut habe.

Nach viel probieren habe ich meine ACLs massiv wie folgt vereinfacht und ich kann von dem genannten System (Linux) nicht mal eine Webseite aufrufen (wget) oder DNS-Abfragen durchführen (nslookup):
Das sind doch einfach nur sachen ausm Internet. Was hat dein Switch damit zu tun oder ist das dein Router?

Das sollte mal der erste Anwendungsfall sein, um reinzukommen und ein bisschen mehr zu verstehen. Ich wollte zumindest eine sauber Konfiguration hinbekommen, die Internetverkehr mit DNS sauber raus und zurück lässt und man damit surfen könnte, wenn am Ende der Liste die globalen Deny-Regeln stehen. Das hatte ich zuvor bereit mit dedizierten IPs und Netzbereicvhen gemacht, aber weil das mit dem Internet nie hingehauen hat, wollte ich meinen Anwendungsfall vereinfachen, um den Denkfehler zu finden. Deswegen bin ich am Ende bei Any-Any gelandet.


Ich habe für jeden der folgenden Ports eine Regel jeweils für Source Port und Destination Port abgelegt
Für jeden deiner 24 bzw. 28 Ports eine Regel?


Mein oben genannter Switch erlaubt das Filtern hinsichtlich Source- und Destination-Ports bei den Paketen - zumindest suggeriert er mir das. Leider lässt sich das Manuel dazu auch nicht aus, weil dieser Einstellungsdialog ist nicht erläutert sondern nur erwähnt und dass man dort seine Regeln einstellen solle. Anscheinend habe ich auch ein neues Gerät aus der Serie bekommen, das Manual zu der Revision ist nicht mal im Netz, nur auf der beigelegten CD, insofern sind alle möglchen Tutorials auch bei D-Link nur auf eine andere, ich nenne es mal alte, Firmwareversion der Switche bezogen. Tolle Startvoraussetzungen für einen wie mich ...

So Peter, jetzt kommt die Auflösung zu meinem obskuren Netzaufbau face-wink

netzwerkaufbau

Ich hoffe ich konnte Deine Fragezeichen ein bisschen aus dem Weg räumen. Entschuldige bitte, wenn ich mich zu Beginn etwas arg kurz gefasst habe.

Gruß,
Jens
Member: Niffchen
Niffchen Nov 18, 2017 at 06:44:10 (UTC)
Goto Top
Zitat von @LordGurke:

Dein Problem wird sein, dass du Datenverkehr in die rückwärtige Richtung wegfilterst.
Du lässt zwar den Verkehr zu den erlaubten Destination-Ports zu, die Antworten von diesen Ports zu deinem lokalen Upper-Port werden dann aber verworfen.
Du müsstest daher die ACLs so konstruieren, dass diese nur auf dein Source-Netz mit dem angegebenen Ziel-Port greifen, also z.B.

Von 192.168.0.0/24
Port any
An any
Port 53
erlauben.

Zusätzlich muss zu jeder dieser Regeln eine entgegengesetzte Regel existieren, um die Antwortpakete wieder zurück zu lassen.


Im nachhinein muss ich zugeben, dass mir dieser Gedanke auch kurz durch den Kopf geschossen ist, aber ich weiß nicht, warum ich den nicht weiter verfolgt habe. Ich habe nun für DNS auf Port 53 Destination für ausgehenden und Port 53 Source für eingehenden Verkehr definiert. Das funktioniert super!
Bei Port 80 und 443 hat mit genau dieses Vorgehen nicht gehaolfen. Es funktionierte dennoch nichts. Wenn ich jeweils eine Regel anlege, die für eingehend wie ausgehend Port 80 bzw. 443 auf Source oder Destination, dann funktioniert es.
Nun wird Port 80/443 in allen Kombinationen durchgereicht und es funktioniert. Dazu fehlt mir die passenden Erklärung, damit ich es nicht einfach nur hinzunehmen brauche.
Aber Dein Hinweis hat mich definitiv schon mal ein großes Stück weiter gebracht!
Member: Niffchen
Niffchen Nov 18, 2017 at 16:52:30 (UTC)
Goto Top
Zitat von @LordGurke:

Dein Problem wird sein, dass du Datenverkehr in die rückwärtige Richtung wegfilterst.
Du lässt zwar den Verkehr zu den erlaubten Destination-Ports zu, die Antworten von diesen Ports zu deinem lokalen Upper-Port werden dann aber verworfen.
Du müsstest daher die ACLs so konstruieren, dass diese nur auf dein Source-Netz mit dem angegebenen Ziel-Port greifen, also z.B.

Von 192.168.0.0/24
Port any
An any
Port 53
erlauben.

Zusätzlich muss zu jeder dieser Regeln eine entgegengesetzte Regel existieren, um die Antwortpakete wieder zurück zu lassen.


Nachdem ich anfangs der Meinung war, dass für Port 80 und 443 nicht jeweils 2 Regeln reichen würden - Ausgehend Destination TCP und Ankommend Source TCP - habe ich nochmal mit Wireshark nachgeschaut und ausprobiert ... aber Du hattest recht!
Ich habe mich von anderen Fehlern und Kommandos auf dem Hobel in de Irre führen lassen und nicht korrekt nachgedacht!

Nachdem ich nun datauf achte, dass der anzufragende Port und der bei der Antwort absendende Port geprüft wird, passt alles. Dann stören auch die Highports nicht mehr und Internet klappt super!
Ich danke Dir für den Denkanstoß face-big-smile