Verbesserungsvorschläge (4) zu IPFire :

You would like to contribute something for IPFire?
Post Reply
Mapa
Posts: 82
Joined: August 3rd, 2017, 10:25 am

Verbesserungsvorschläge (4) zu IPFire :

Post by Mapa » November 29th, 2017, 7:40 am

Unter Option Firewall, Firewallgruppen, Netzwerk-Maske kann 24 nicht genutzt werden .
Fehlermeldung "Das ist das GRÜNE Subnetz" .
22-Firewallgruppen Netzwerke Maske 24 Fehler.png

DHCP-Server hat einen Fehler ... Die IP Vergabe, richtet sich nach Klienten NetBios Name eines Rechners und nicht nach MAC-Adresse .
Beispiel :
Selbigen PC mit zwei Betriebssysteme, WIN und Linux, jedoch unterschiedliche NetBios Name, ob versehen oder bewusst ...
Oder man bootet von einer Linux Live-CD ... und schon kann man alle IP basierten Filterungen und Regeln umgehen .
Grad dann wenn man über "blau" reinkommt und die MAC-Adresse (Zugriff auf blau) dem IPFire bekannt ist .
23-DHCP IP Vergabe und IP Sperren umgehen.png
23-DHCP IP Vergabe und IP Sperren umgehen.png (11.15 KiB) Viewed 1188 times
Wird nun in dieser Situation, die IP für den Klienten im DHCP Server fix gesetzt, entsteht ein Konflikt in IPFire, bedingt durch die Unterschiede bzw. bereits mehrmals vorhandenen "reservierungen" .
Edit : Auch in den Logs, sind die Einträge entsprechend Änderung der IP, nicht mehr wirklich nachvollziehbar und die Verfolgung des Ablaufs schwer .


Unter Firewall Regeln Schedule, fehlt die Option bestehende Verbindungen oder "Alle" oder Downloads Trennen .
Das Verhalten der Firewall im Moment, sie trennt bestehende Verbindungen und Downloads nicht, wenn diese vor Zeitablauf schon bestehen .
Eingepflegte Klienten in Gruppen per MAC-Adresse und aber auch per IP, als Gruppe zusammen gefasst, in beiden Fällen ist das so .
Wenn Klienten im internen Netzwerk gesperrt werden, sollte alles wie ICMP und andere, entsprechend nach außen auch gesperrt werden (sprich Vollsperre) . Das Verhalten, dass WEB technisch Internet Seiten durch ein gesperrten Klient in einer Gruppe, zwar nicht mehr erreichbar sind, aber er diese IP technisch weiter pingen kann, ist keine Vollsperre .
24-Firewallregel Zeitraum laufende Verbindungen trennen.png

Für die Flexibilität, wäre bei Wireless "blue", eine Zeiteinschränkung von Vorteil .
Aber nicht nur bei Wireless "blue", auch für "green" wäre das von Vorteil, für den Fall, dass jemand es doch weiter über grün dann versucht .
Nicht nur Kinder als Beispiel, sind schon raffiniert und erfinderisch .
25-Wireless-Konfiguration und Zeitbeschränkung.png

In Guardian aufgetauchte Adresse, konnte nicht gelöscht werden .
26-Host kann nicht gelöscht werden.png

Bei MAC Adressen Eingabe, spätestens bei der Speicherung von diese in IPFire, sollte ein Script, diese in Großbuchstaben oder in Kleinbuchstaben wandeln . In vielen Fällen „Case Sensitive“, kann es zu Probleme in der Verarbeitung führen . Mir selber schon passiert, dass beim Kopieren oder auch Scannen des Barcodes, dieses unterlaufen ist . Unter IPFire Wake-On-LAN als Beispiel, werden die Buchstaben in MAC Adressen, immer in groß Buchstaben automatisch gewandelt ... dieses kann auch unter anderen IPFire Optionen übernommen werden .
27-Keine einheitliche MAC Adressen Speicherung.png

Eine Wake On LAN Automatisierung wäre nicht schlecht, so können ältere NAS Systeme zur gewissen Zeiten für ein Fernzugriff aufgeweckt werden .. Rechner mit Fernzugriff oder Wartung, wenn man selber im Ausland ist ... Dort in dortige Zeitzone .
28-Automatisierung von Wake On LAN für ältere NAS Systeme.png

Eine Übersichtsanzeige, über Schedule Zeiten um Überschneidungen zu vermeiden .. Wie auch immer die Darstellung umgesetzt wird, hier nur als eine Idee .
29-Übersicht Schedule.png
Last edited by Mapa on December 7th, 2017, 10:40 am, edited 15 times in total.

Hellfire
Posts: 697
Joined: November 8th, 2015, 8:54 am

Re: Verbesserungsvorschläge (4) zu IPFire :

Post by Hellfire » November 29th, 2017, 11:47 am

Mapa wrote:
November 29th, 2017, 7:40 am
DHCP-Server hat einen Fehler ... Die IP Vergabe, richtet sich nach Klientenname und nicht nach MAC-Adresse .
Beispiel : Selbigen PC mit zwei Betriebssysteme, WIN und Linux, jedoch unterschiedliche Rechnername ob versehen oder bewusst ...
oder man bootet von einer Live-CD ... und schon kann man alle IP basierten Filterungen und Regeln umgehen . Grad dann wenn man über "blau" reinkommt und die MAC-Adresse (Zugriff auf blau) dem IPFire bekannt ist .
Hi Mapa,

das mit den Client-Namen kann ich mir aber jetzt nicht so ganz vorstellen. Ich habe zwar ähnliches schon Mal beobachtet, jedoch sind meine (Windows)-PC-Namen nicht identisch mit denen aus den statischen DHCP-Releases. Zumal die "Namen" dort ja lt. Überschrift, nur eine Bemerkung zum jeweiligen Eintrag sind.

Das was du in deiner Hardcopy dargestellt hast, scheinen ja nur die dynamischen IP-Adressen zu sein, gesehen am Button "Hinzufügen" am rechten Rand, die jedoch immer "zufällig" sind. Dieses Verhalten habe ich auch schon bei mir beobachtet, jedoch konnte ich es für mich erklären.

Aber ich bin nicht der Profi, sondern nur Anwender habe aber mittlerweile schon ein wenig Erfahrung mit dem System sammeln können und denke daher, dass DHCP weiterhin korrekt läuft.

Btw, ich finde viele deiner Verbesserungsvorschläge sehr sinnvoll, vor allem was bspw. ein Mapping von Host-Namen zu IP-Adressen an vielen vielen Stellen im System angeht. Da sind teilweise mehrfach Eingaben notwendig, die m.E. nicht sein müssten, aber ich kann dies nicht aus Sicht eines Entwicklers beurteilen.

Grüße,
Michael
Image

Mapa
Posts: 82
Joined: August 3rd, 2017, 10:25 am

Re: Verbesserungsvorschläge (4) zu IPFire :

Post by Mapa » November 30th, 2017, 7:05 am

Überarbeitung ist erfollgt .
Sollte nun, besser verständlich sein .

Gruß
Mapa

Post Reply