16
German - Deutsch / Re: Verständnis fürs Firewall Regelwerk
« on: September 10, 2016, 01:08:48 pm »
wow super, vielen Dank für Deine Erläuterungen. Habe das Regelwerk mit diesem Verständnis komplett neu angelegt - grosser Unterschied: Es klappt sofort wie gewünscht.
Demnach sind die Interface-Regeln einfach ganz normale "Floating-Regeln" mit dem Unterschied:
Interface ist vorbelegt, Direction ist IN, Qick ist gesetzt und sie kommen danach.
OK Jetzt bitte zu Regeln die ich nicht sehe oder die fehlen:
Wieso funktioniert der DHCP-Server, ohne das ich ihn freigegeben habe?
Im Firewall-Log sehe ich jede Menge lokale DNS-Zugriffe die geblockt werden: Quelle & Ziel: 127.0.0.1 53/UDP.
Ist das normal? Ich habe diese jetzt mal mit einer Floating-Regel und einem Lokal-Alias 127.0.0.1/8 erlaubt.
In System->Settings->General hat es da was komisches: "Do not use the DNS Forwarder as a DNS server for the firewall" ist inaktiv.
Im Firewall-Log sehe ich das der NTP-Outbound (123/UDP) geblockt wird, der NTP-Server meldet dann Network is unreachable. Eine entsprechende Regel zu fomulieren fällt mir schwer:
Interface WAN, Direction OUT, Source WAN address:*, Destination any:NTP.
Jetzt scheint es mir, als wüde die Antwort geblockt. (die von Ports wie 2, 25, 26 kommt ) Sollte die nicht automatisch erlaubt sein (state ESTABLISHED,RELATED )?
Demnach sind die Interface-Regeln einfach ganz normale "Floating-Regeln" mit dem Unterschied:
Interface ist vorbelegt, Direction ist IN, Qick ist gesetzt und sie kommen danach.
OK Jetzt bitte zu Regeln die ich nicht sehe oder die fehlen:
Wieso funktioniert der DHCP-Server, ohne das ich ihn freigegeben habe?
Im Firewall-Log sehe ich jede Menge lokale DNS-Zugriffe die geblockt werden: Quelle & Ziel: 127.0.0.1 53/UDP.
Ist das normal? Ich habe diese jetzt mal mit einer Floating-Regel und einem Lokal-Alias 127.0.0.1/8 erlaubt.
In System->Settings->General hat es da was komisches: "Do not use the DNS Forwarder as a DNS server for the firewall" ist inaktiv.
Im Firewall-Log sehe ich das der NTP-Outbound (123/UDP) geblockt wird, der NTP-Server meldet dann Network is unreachable. Eine entsprechende Regel zu fomulieren fällt mir schwer:
Interface WAN, Direction OUT, Source WAN address:*, Destination any:NTP.
Jetzt scheint es mir, als wüde die Antwort geblockt. (die von Ports wie 2, 25, 26 kommt ) Sollte die nicht automatisch erlaubt sein (state ESTABLISHED,RELATED )?