Paketfilter greift nicht

Iced_Earth · #1 (**permalink**) 07-04-2009, 06:47 PM

Hallo zusammen,

gerade bin ich auf eine seltsame Situation gestoßen:

-> Ich wollte vom Internen Netz über die Astaro ins Externe Netz den Router anpingen.

Statt die paar Häkchen auszuwählen, die unter Netzwerksicherheit - ICMP zu finden sind, habe ich unter "Generic Proxy" eine Regel erstellt um Pings weiterzuleiten. So weit so gut, das hat schon mal geklappt - Router wurde erreicht.

Dann habe ich - einfach mal zum experimentieren - eine Paketfilter-Regel erstellt, dass die Ping-Pakete geblockt bzw. verworfen werden sollen. Die Regel stand auch an erster Stelle, war aktiv geschalten, etc.

Somit hätte die Regel ja greifen sollen, und den Ping blocken bzw. verwerfen sollen.

-> Trotzdem ging der Ping erfolgreich zum Router hindurch!

Nun meine Frage(n):

- Wieso greift die Paketfilter-Regel nicht?
- Wo liegt da der Fehler? Greift der Paketfilter nicht überall sondern nur bei einer bestimmten Konfiguration?
- Und wie würde man das ganze geschickter Lösen?

Gruß & Dank :-)

KKnecht · #2 (**permalink**) 07-05-2009, 08:27 AM

Hallo Iced_Earth,

ich versuche mal eine allgemeine Antwort:
In der Regel kannst Du Deine Anforderungen auf 2 Arten lösen:
1. Wenn es einen Proxy dafür gibt, kannst Du alles dort einrichten
2. Andernfalls löst Du es über PacketFilter Regeln.

Bei den Proxys hat Astaro schon einiges an Gehirnschmalz reingesteckt, um alle zugehörigen Abhängigkeiten zu lösen. Also würde ich diese i.d.R. bevorzug benutzen.

WENN man aber einen der Proxys benutzt, werden "unter der Haube" die passenden IPTABLES-Regeln gesetzt. Und die kommen VOR den Packetfilter-Regeln.
Daher greift Deine Regel nicht mehr. Das gilt auch beim Einsatz der "ICMP-Häckchen".
Wenn Du also unbedingt was im PacketFilterLog sehen willst, musst Du die GenericProxy-Regel deaktivieren sowie die ICMP-Settings deaktivieren.
Ich würde es an Deiner Stelle über die ICMP-Parameter lösen, und wenn Du es wirklich noch feiner brauchst, nimm die PacketFilter Regeln.

Grüsse, Karsten

Iced_Earth · #3 (**permalink**) 07-05-2009, 08:02 PM

Hallo KKnecht,

das hast du wirklich schön erklärt, ich danke dir

-> Frage somit beantwortet

Gruß & Dank

Trialrider · #4 (**permalink**) 07-08-2009, 03:39 PM

Hi,

ich denke du kannst sogar auf den GP zum Pingen deines Routers verzichten. Eine PFR sollte genügen. Wenn sie aktiv ist, dann kannst du ihn pingen, ist sie aus, dann ist der Ping nciht mehr möglich. Würde sich für tracert genauso verhalten...
--
MfG, Steffen

Iced_Earth · #5 (**permalink**) 07-08-2009, 07:54 PM

Genau das habe ich lange getestet... NUR durch eine Paketfilterregel den Ping durchzulassen hat leider nicht funktioniert, nur durch das "Häkchen" setzen ODER über den Generic Proxy. Wenn du dir aber dir anderen Threats von mir durchliest wirst du feststellen dass ich generell mit den Paketfilterregeln zu kämpfen habe, die bei mir einfach nicht greifen, und die Astaro dahingehend eher das tut was sie will, und nicht was ich will....

Vielleicht hast du ja noch ein paar Tips für meine anderen Threats/Probleme, ich glaube fast das hängt alles irgendwie zusammen...

Trotzdem Danke soweit, ich werds' mir merken :-)