Firewall Reihenfolge

Wie kann man das Konfigurieren?
User avatar
Mansaylon
Posts: 42

Firewall Reihenfolge

Postby Mansaylon » February 16th, 2017, 10:19 am

Hallo zusammen

Hätte da eine Frage zur Reihenfolge.
Was wird zuerst abgearbeitet.... der GeoBlocker oder die Firewallregeln?
Oder aus einer anderen Sicht.... wenn der GeoBlocker aktiv ist, aber aus dem entsprechenden Land das geblockt würde eine IP in der Firewallregel zugriff hätte, würde dies dann funktionieren?

User avatar
StefanSchantl
Core Developer
Core Developer
Posts: 822
Location: Steiermark

Re: Firewall Reihenfolge

Postby StefanSchantl » February 17th, 2017, 7:27 am


User avatar
Mansaylon
Posts: 42

Re: Firewall Reihenfolge

Postby Mansaylon » February 17th, 2017, 8:01 am

Vielen Dank.... schade kann ich damit nichts anfangen, da mir offenbar das Verständnis dafür fehlt.
Vielleicht weiss jemand die Antwort für einen gewöhnlich Sterblichen ?!?!

User avatar
StefanSchantl
Core Developer
Core Developer
Posts: 822
Location: Steiermark

Re: Firewall Reihenfolge

Postby StefanSchantl » February 17th, 2017, 8:15 am

Das untere Bild auf dem verlinkten Wiki Artikel, zeigt das komplette Flussdiagramm der Firewall-Engine in IPFire.

Wenn du die 2te Spalte "INPUT" betrachtest, ist dort die "GEO-IP" Chain vor der "INPUT-FW" Chain. Das bedeutet, dass zuerst der GeoIP-Blocker, wie du ihn genannt hast abgearbeitet wird, dannach erst die Firewallregeln.

mfg,

-Stefan

fredym
Posts: 28

Re: Firewall Reihenfolge

Postby fredym » February 17th, 2017, 11:28 am

Mansaylon wrote:Vielen Dank.... schade kann ich damit nichts anfangen, da mir offenbar das Verständnis dafür fehlt.
Vielleicht weiss jemand die Antwort für einen gewöhnlich Sterblichen ?!?!

Hmm ...so ein "gewöhnlicher Sterblicher" sollte besser die Finger von der Firewall lassen.
Zumindest in dem Fall wenn eine funktionierende Firewall gebraucht wird, die das tut, was sie soll.
Eins falsche Regel oder (schlimmer ?) eine richtige Regel an der falschen Stelle kann die Funktion der Firewall komplett in Frage stellen .

Fred

User avatar
Mansaylon
Posts: 42

Re: Firewall Reihenfolge

Postby Mansaylon » February 18th, 2017, 5:22 am

OK... sehe ein wenig besser durch.
Der Input und der Forward wird ja vorher getrennt.... wenn ich also ein Forward eingerichtet habe, wird dieser trotz aktiver GeoIP-Blocker durchgeführt?

@fredym: Toller Beitrag; muss schon sagen. Nach Deiner Meinung, wer nicht als Firewall Guru geboren wurde, sollte sich nicht mit dem Thema befassen und auch keine Fragen stellen, um die Sache richtig zu verstehen???

fredym
Posts: 28

Re: Firewall Reihenfolge

Postby fredym » February 18th, 2017, 7:47 am

Mansaylon wrote:OK... sehe ein wenig besser durch.
Der Input und der Forward wird ja vorher getrennt.... wenn ich also ein Forward eingerichtet habe, wird dieser trotz aktiver GeoIP-Blocker durchgeführt?

@fredym: Toller Beitrag; muss schon sagen. Nach Deiner Meinung, wer nicht als Firewall Guru geboren wurde, sollte sich nicht mit dem Thema befassen und auch keine Fragen stellen, um die Sache richtig zu verstehen???

Hallo,
zu 2 : nein - eigentlich ganz im Gegenteil - trotzdem ist Firewalling nix für Dummies.
zu1: dann schau dir doch einfach die wirkenden Regeln an (iptables --list), da steht alles was du wissen willst.
und da steht (indirekt) auch wo du deinen extra Regeln einfügen musst. Sowas geht, ist aber eben nix für eine GUI.
Solltes du besser in ein Shellscript packen.

Fred

ummeegge
Community Developer
Community Developer
Posts: 3933

Re: Firewall Reihenfolge

Postby ummeegge » February 19th, 2017, 9:09 am

Hallo zusammen,
Mansaylon wrote:Der Input und der Forward wird ja vorher getrennt.... wenn ich also ein Forward eingerichtet habe, wird dieser trotz aktiver GeoIP-Blocker durchgeführt?

wenn du nach dem Bild was dir der Stefan gepostet hat gehst, findest du in der FORWARD den GEOIPBLOCK wie beim INPUT auch vor der FORWARDFW, das Bild ist auch ein bisschen klein ;) . Sogesehen wird erst GEO geblockt und dann die eigentlichen Regeln verarbeitet.

fredym wrote:Solltes du besser in ein Shellscript packen.

Sofern das andere Chains werden z.b. firewall.local würde sich das Verhalten dann auch ändern da z.b. die CUSTOMFORWARD bzw. die CUSTOMINPUT vor dem GEOIPBLOCK kommt und nach meinem Verständnis der länderbezogene Block dann nicht mehr greifen würde.

@Stefan
hast du in der Grafik schon gesehen was da nach der Routing Decision steht (INPUT|FORWARD) :P ?

Grüsse,

UE
Image
Image
Image

User avatar
Mansaylon
Posts: 42

Re: Firewall Reihenfolge

Postby Mansaylon » February 21st, 2017, 8:45 am

Danke.... denke ich habe die Antwort.


Return to “Konfiguration”



Who is online

Users browsing this forum: Yahoo [Bot] and 2 guests