Firewall-Regeln Vigor2200

Größe: px

Ab Seite anzeigen:

Download "Firewall-Regeln Vigor2200"

Hede Wolf
vor 8 Jahren
Abrufe

1 Firewall-Regeln Vigor2200 Hier zufinden: Anordnungder Regeln: 1.Der Default Call-Filter wird erweitert, 2.Der Default Data Filter wird nicht verändert! 3./4.Hier stehendie eigentlichen Regeln um dassystem zu schützen, Seite1/8

Der Default Data Filter wird nicht verändert! 3./4.

2 Grundeinstellungen: Verzweigung auf diefilter-sets Wichtig!!! Log-Optionen Seite2/8

3 Default Call-Filter: Mitden DefaultCall-Filtern kann man steuern,durch welche Protokolle der Vigor eine Verbindung mitdem Internetaufbaut. SinnvolleProtokolle sind unten aufgezeigt.wichtig ist jedoch, dass von diesem Filtersetaufkein weiteresverzweigt wird! Der allgemeinefilteraufbauwird nachher noch besprochen. Seite3/8

SinnvolleProtokolle sind unten aufgezeigt.

4 Default Data Filter: Im DefaultData Filter ändernwir nichts an der Grundeinstellung.Eswird nur andasdritte Filter-Setverzweigt. Seite4/8

5 Outgoing Rules: IndenOutgoing Rulesdefinieren wir selbst,was überhauptins Internetrausdarf und wasnicht.da diepaar Einstellmöglichkeiten nichtausreichen, müssen wir auch hier auf ein weitersfiltersetverzweigen. Das Wichtigste überhauptistdie Schluß-Regel. Mitder Schlußregel verbieten wir grundsätzlich alles.somitsind nur die vorher definierten Protokollemöglich.Die Schlußregelwird in der Fachsprache auch Clean-Up-Rulegenannt. Seite5/8

Das Wichtigste überhauptistdie Schluß-Regel. Mitder Schlußregel verbieten wir grundsätzlich alles.

6 Regeln: Wieschon erwähnt, sehen die Regeln für der DefaultCall-Filter und den Outgoing Rules prizipiell gleichaus. Nachfolgend eine Beschreibung einer Regel für DNS, also der Namensauflösung. Wiedie anderen Regeln aufgebaut sind, ist nachfolgend tabellarichdargestellt. Comments Check to enable... Passor Block Direction Protocol Source Destination Keep State Klar, einebezeichnung für dieregel, Sollteauchklar sein, Hier geben wir an, ob dieseregeleinepositive oder negative ist,alsoobgeblocktoder durchgelassen wird. Da wir nur ausgehenden Datenverkehrerlauben, sollte nur OUT (außer in den Call-Filtern) verwendet werden, Hier können wir TCP/UDP/ICMP auswählen, DieQuelle, also unser interneslan, alsports sind alle über 1024 zuzulassen, DasZiel der Regel, any heißt, das ganze Internet Zielport ist der jeweiligen Anwendung zugeordnet, Hiermitaktivieren wir die Stateful -Funktion der Firewall. Damit ersparen wir unsdie Regelnfür den Paket-Rückweg. Seite6/8

.. Passor Block Direction Protocol Source Destination Keep State Klar, einebezeichnung für dieregel, Sollteauchklar sein, Hier geben wir an, ob dieseregeleinepositive oder negative

7 Filterregeln kontrollierenper Telnet: Kontrollieren lassen sich dieregeln über dastelnet-gui. Der Befehl lautet: ipf view-r Die Ausgabe sollte dann etwa wiefolgtaussehen: router>ipfview-r CallFilterRules DataFilterRules IncomingFilterRules OutgoingFilterRules keepstate router> Mitdem Befehl: ipf view kannman sich einestatistik über dieregeln ansehen: router> ipf view input packets: blocked 786 passed nomatch 0counted 0 output packets: blocked 521 passed nomatch 0counted 0 input packets logged: blocked 786 passed 0 output packets logged: blocked 521 passed 0 packets logged: input 0output 352 log failures: input 2output 0 fragment state(in): kept 0 lost 0 fragment state(out): kept 0 lost 0 packet state(in): kept 0 lost 0 packet state(out): kept lost 46 ICMP replies: 4 TCP RSTs sent: 0 Result cache hits(in): 0 (out): 0 IN Pullups succeeded: 0 failed: 0 OUT Pullups succeeded: 0 failed: 0 TCP cksum fails(in): 0 (out): 0 Packet log flags set: ( ) packets blocked by filter router> Seite7/8

17.1.0/24port>1024toanyport=pop3keepstate 00@4passinquickprototcpfrom172.17.1.0/24port>1024toanyport=wwwkeepstate 00@5passinquickprototcpfrom172.17.1.0/24port>1024toanyport19><22keepstate 00@6passinquickprototcpfrom172.

8 Empfohlene Regeln: Default Call Filter Regelname Pass or Direction Protocol Source Source Port Destination Destination Keep State Beschreibung Block IP/Mask /Mask Port Block NetbiosBlock IN TCP/UDP any/32 = any/32 = - Kein Windoof-Klumb DNS Pass IN UDP /24 > 1024 any/32 = 53 x Namensauflösung POP Pass IN TCP /24 > 1024 any/32 = 110 x Mails abholen WWW Pass IN TCP /24 > 1024 any/32 = 80 x Internet-Surfen FTP Pass OUT TCP /24 > 1024 any/32 = x FTP SSH Pass OUT TCP /24 > 1024 any/32 = 22 x SSH Block all Block IN any any/32 = any/32 = - sonst nix Outgoing Rules Regelname Pass or Direction Protocol Source Source Port Destination Destination Keep State Beschreibung Block IP/Mask /Mask Port DNS Pass OUT UDP /24 > 1024 any/32 = 53 x Namensauflösung WWW Pass OUT TCP /24 > 1024 any/32 = 80 x Internet-Surfen SSL Pass OUT TCP /24 > 1024 any/32 = 443 x HTTPS High Pass OUT TCP/UDP /24 > 1024 any/32 > 1024 x High-Porst für passives FTP POP Pass OUT TCP /24 > 1024 any/32 = 110 x Mails abholen FTP Pass OUT TCP /24 > 1024 any/32 = x FTP SMTP Pass OUT TCP /24 > 1024 any/32 = 25 x Mails verschicken ICMP Pass OUT ICMP /24 = any/32 = x Ping, Traceroute, Telnet/SSH Pass OUT TCP /24 > 1024 any/32 = x Telnet und SSH Deny all out Block OUT any any/32 = any/32 = - sonst nix Seite8/8

17.1.1/24 > 1024 any/32 = 80 x Internet-Surfen FTP Pass OUT TCP 172.17.1.1/24 > 1024 any/32 = 20-21 x FTP SSH Pass OUT TCP 172.17.1.1/24 > 1024 any/32 = 22 x SSH Block all Block IN any any/32 =

Ähnliche Dokumente

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP