Rule greift nicht?

Started by kosta, July 25, 2021, 07:18:15 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 25, 2021, 07:18:15 PM Last Edit: July 25, 2021, 07:21:31 PM by kosta
Hallo,

bin etwas perplext, warum greift dieses Rule nicht?
Screenshots folgen.
July 25, 2021, 07:22:34 PM #1
Und hier noch das Rule selbst
July 25, 2021, 09:22:16 PM #2
ok,
ich fange das Raten mal an!

Die Rule soll erlauben?!
Eine deny Rule ist nicht oberhalb in den Lan Net Rules?

Es wäre doch schick wenn man mehr Infos zu deinen gesamten Rules hat.
Und eventuell auch was diese "nicht funktionierende" machen soll?

Quote... warum greift dieses Rule nicht?
..was soll sie machen?
July 25, 2021, 09:30:50 PM #3
Ich hätte gedacht das war aus den Screenshots klar.
Nun:
Das sind diverse Clients die N-Central Agent installiert haben. Port 1234 ist:
https://secure.n-able.com/webhelp/NC_11-0-0_en/Content/Help_20/MSPA/MSPC_ports.htm
Betrifft Remoting aus dem N-Central.
Er will Outbound zu *.mspa.n-able.com
Port 1234
Ja, die Rule soll erlauben.
Nein, ein Deny ist erst ganz am Ende.
Nix im Floating dazu...

Mm, wie soll ich mehr Infos zu den Rules posten, was willst du genau wissen? Es sind LAN und mehrere VLANs, Floating verwende ich aktuell nur 1 Rule, nix mit N-Able zu tun.
Grundlegend steht ganz oben IPv6 deny, dann alle Rules und dann am Ende Deny All mit Logging an.
July 25, 2021, 11:05:54 PM #4
Es gibt bei der DNS Auflösung kein Wildcard.

Gesendet von meinem OnePlus 8t mit Tapatalk

July 26, 2021, 12:00:55 AM #5
Ist drin sowohl mit wie auch ohne. Ich entferne den Eintrag mit.
July 26, 2021, 11:10:27 AM #6
Das kannst du zwar entfernen, die Regel wird dann aber trotzdem nicht matchen wenn dein Client bspw. zu abc.mspn... raus will, weil die Regel einfach nicht erahnen kann, welche Subdomains/Hostnamen sich hinter dem * verstecken. Entweder brauchst du für dieses Vorhaben eine komplette Domainliste statt dem * oder es wird nicht klappen. Dann bleibt nur noch Freigabe der Ports gegenüber von IPs oder "any". Man könnte höchstens noch das Netz eingrenzen, dass der Provider/Hoster nutzt und ggf. über den AS o.ä. ne komplette IP Liste/Netzliste abgreifen und die hinterlegen um den Zugriff nicht auf Any gelten zu lassen, aber ohne vollständige Domainliste mit allen genutzten IPs wird das schwer.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 26, 2021, 12:46:17 PM #7
@JeGr Wäre Sensei nicht genau für so etwas da? "Raten", was die Clients treiben?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 26, 2021, 01:19:10 PM #8
Sensei wird eingesetzt, ist auf der To-Do Liste, aber bin noch nicht soweit.

@JeGr, danke, verstehe. Ist kein Problem, wenn es so nicht geht, dann werde ich rundum arbeiten.
July 26, 2021, 06:26:52 PM #9
Quote from: pmhausen on July 26, 2021, 12:46:17 PM
@JeGr Wäre Sensei nicht genau für so etwas da? "Raten", was die Clients treiben?

Raten vielleicht, aber für policy based rules? Bin ich tatsächlich gerade überfragt, dazu setz ich den Kram zu wenig selbst ein.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions