Firewall funktioniert nicht

[meschmesch]

Hallo,
ich habe das Problem, dass die Firewall nicht funktioniert. Zum Testen hatte ich für eine einzelne IPv4 Adresse im Lan angegeben, dass sämtlicher Verkehr zum WAN blockiert werden soll. Also IPv4* IN Port * Destination WAN net. Ein Ping zu 8.8.8.8 wird hierdurch nicht geblockt. Wenn ich nun statt WAN net konkret die 8.8.8.8 als single host Adresse angebe, funktioniert die Regel.

Was mache ich falsch? Wo liegt der Denkfehler?

Danke und viele Grüße
Meschmesch

[superwinni2]

Hallo meschmesch


dein Fehler liegt in deiner Logik. Das Ziel (Destination) deines Paketes geht an 8.8.8.8 und nicht an WAN Net.

[meschmesch]

Hallo, ok. Wie müsste ich dann die Regel definieren, dass jeglicher Verkehr ins Internet blockiert wird?

[superwinni2]

Naja...
ich würde einen Berech definieren (Alias) was z.B. Internet ist oder was Intern ist.
Ich habe hierfür ein Alias "RFC1918" in denen die privaten Adressbereiche enthalten sind.
Diesen dann entspechend einer Regel benutzen, dass alles was nicht an RFC1918 geht zu blockieren ist.


Ps. Ich würde jedoch eher mit "zulassen" Regeln arbeiten statt mit "verbieten". Ist jedoch vom Unfeld abhängig.
Sprich eher den Jetzigen "Alles darf nach extern" Bereich löschen bzw. verkleinern.

[meschmesch]

OK, das tut. Problem insofern gelöst. Die Frage ist nur, wo liegt mein Denkfehler? Ich "dachte", dass WAN net alles beinhaltet, was als Netzwerk hinter dem WAN liegt. Oder anders ausgedrückt dachte ich, dass ich im Falle eines Gast-Netzwerks eine Regel erstellen kann, die Verkehr zwischen "GAST" und "LAN" blockiert, indem ich als zu blockierendes Ziel "LAN net" angebe.

Was ist denn mit Lan net, Wan net usw. bei den Regeln gemeint?

[superwinni2]

Na das Netzwerk des entsprechenden Interfaces...


Das mit der GAST und LAN Logik passt soweit. Aber das Internet ist ja mehr als nur der Netzbereich deines WANs. (Es hängen ja hinter dem Router des Providers weitere Router etc. zu anderen Netzen.)

[meschmesch]

ok kapiert. Danke für die Hilfe!

[superwinni2]

Gerne


Viel Erfolg beim Konfigurieren!

[meschmesch]

Danke. Mir kam gerade noch eine Frage, wie ist denn die Reihenfolge bei der Prüfung? Zuerst Intrusion Detection auf WAN Interface und dann Firewall auf WAN Interface oder andersrum?

[superwinni2]

Das kann ich dir nicht beantworten... Würde mich jedoch auch interessieren...
Ansonsten probieren...


Ich glaube aus meinen Test von vor über einem Jahr, dass zuerst die IDS/IPS kommt und dann die FW....

[JeGr]

> Danke. Mir kam gerade noch eine Frage, wie ist denn die Reihenfolge bei der Prüfung? Zuerst Intrusion Detection auf WAN Interface und dann Firewall auf WAN Interface oder andersrum?

Soweit ich weiß, ja. Das IDS greift sich normalerweise via netmap mit dem Treiber der physikalischen Karte selbst die Pakete noch bevor sie das OS/Kernel abbekommt. Das gilt aber natürlich nur für eingehenden Filter auf physikalischem Interface. Würde man ausgehend zum LAN hin filtern, wäre zuerst das ganze OS, PF etc. dran und am Ende wenn das Paket zur Netzwerkkarte gegeben wird kommt es beim IDS an.

Aber von WAN Seite aus betrachtet, ja, müsste Suricata das Paket zuerst abbekommen noch ohne NAT oder irgendwelches Filtering. So verworfene Pakete kommen dann gar nicht mehr erst in die Filter Queue oder ins Userland an.