Kategorie: Access Lists, Stateful Inspection
Konfiguration der Stateful Inspection Firewall mit FCI
In dieser FAQ wird anhand eines Beispieles auf die Konfiguration der Stateful Inspection Firewall mittels FCI eingegangen. In diesem Beispiel wurde ein R232b mit Software Image 7.6.1 verwendet.
1. Szenario
2. Konfiguration der Firewall
2.1 IP-Adress Alias anlegen
2.2 Dienstegruppe anlegen
2.3 Filterregeln konfigurieren
3. Debug Meldungen
1. Szenario
Anforderungen an die Firewallkonfiguration in diesem Beispiel:
- das Netz an en1-0 (192.168.1.0) darf ins Internet
- das Netz an en5-0 (192.168.2.0) darf nicht ins Internet
- Ausnahme: der Client 192.168.2.1 darf ins Internet
- die beiden LANs dürfen nicht miteinander kommunizieren
- Ausnahme: der Client 192.168.2.1 darf auf das Netz 192.168.1.0 zugreifen
- das Netz an en1-0 (192.168.1.0) darf ins Internet
- das Netz an en5-0 (192.168.2.0) darf nicht ins Internet
- Ausnahme: der Client 192.168.2.1 darf ins Internet
- die beiden LANs dürfen nicht miteinander kommunizieren
- Ausnahme: der Client 192.168.2.1 darf auf das Netz 192.168.1.0 zugreifen
2. Konfiguration der Firewall
Bitte beachten Sie, dass alles was in den Filterregeln nicht explizit zugelassen ist, von der Firewall gesperrt wird. Deshalb sollte darauf geachtet werden, das die Firewall zu Beginn der Konfiguration deaktiviert ist.
2.1 IP-Adress Alias anlegen
Unter dem Punkt Adressen, Adressliste wird ein Eintrag für die IP-Adresse 192.168.2.1 angelegt.
2.2 Dienstegruppe anlegen
Da für Internetverkehr viele verschiedene Dienste verwendet werden, ist es meistens sinnvoll die benötigten Dienste zu einer Gruppe zusammen zu fassen.
2.3 Filterregeln konfigurieren
Als nächstes werden die Filterregeln angelegt.
Zuerst wird für das Netz am Interface en1-0 der Internetverkehr zugelassen.
Zuerst wird für das Netz am Interface en1-0 der Internetverkehr zugelassen.
Wenn die Stateful Inspection Firewall das erste Mal konfiguriert wird, wird automatisch eine Filterregel generiert, die alle Dienste zu Local erlaubt. Diese Regel ist im Zusammenhang mit dem Administrativen Zugriff zu sehen.
Als nächstes wird festgelegt, dass der Client 192.168.2.1 ins Internet darf und Zugriff auf das Netz am Interface en1-0 hat.
Nachdem die Filterregeln angelegt wurden, sollte die Konfiguration bootfest gespeichert werden, bevor die Firewall aktiv geschaltet wird.
3. Debug Meldungen
r232b:> debug all&
00:49:11 DEBUG/INET: dnsd: qry from 192.168.1.20:1029 id 94 "www.google.de." A 1
00:49:11 DEBUG/INET: dnsd: cache 209.85.129.147 for www.google.de.
00:49:11 DEBUG/INET: dnsd: rsp to 192.168.1.20:1029 id 94 "www.google.de." A 1/0/0
00:49:11 DEBUG/INET: new session, 192.168.1.20:8->209.85.129.147:0 prot: 1 parent: false
00:49:11 DEBUG/INET: SIF: 2 Accept LAN_EN1-0[1000:192.168.1.20:8] -> WAN_DSL[10001:209.85.129.147:0] echo:1
00:49:11 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.1.20:9/84.149.184.107:32772 -> 209.85.129.147:0
00:49:42 DEBUG/INET: dnsd: qry from 192.168.2.20:1029 id 95 "www.google.de." A 1
00:49:42 DEBUG/INET: dnsd: cache 209.85.129.147 for www.google.de.
00:49:42 DEBUG/INET: dnsd: rsp to 192.168.2.20:1029 id 95 "www.google.de." A 1/0/0
00:49:42 DEBUG/INET: new session, 192.168.2.20:8->209.85.129.147:0 prot: 1 parent: false
00:49:42 DEBUG/INET: SIF: No Rule Ignore [5000:192.168.2.20:8] -> [10001:209.85.129.147:0] :1
00:49:43 DEBUG/INET: NAT: delete session on ifc 10001 prot 1 192.168.1.20:9/84.149.184.107:32772 <-> 209.85.129.147:0
00:49:43 DEBUG/INET: TIMEOUT Session expired: 192.168.1.20:8->209.85.129.147:0 prot=1
00:49:43 DEBUG/INET: destroy session, 192.168.1.20:8->209.85.129.147:0 prot:1
00:50:19 DEBUG/INET: SIF: 3 Accept 192.168.2.1[5000:192.168.2.1:8] -> WAN_DSL[10001:209.85.129.147:0] echo:1
00:50:19 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.2.1:9/84.149.184.107:32773 -> 209.85.129.147:0
00:49:11 DEBUG/INET: dnsd: qry from 192.168.1.20:1029 id 94 "www.google.de." A 1
00:49:11 DEBUG/INET: dnsd: cache 209.85.129.147 for www.google.de.
00:49:11 DEBUG/INET: dnsd: rsp to 192.168.1.20:1029 id 94 "www.google.de." A 1/0/0
00:49:11 DEBUG/INET: new session, 192.168.1.20:8->209.85.129.147:0 prot: 1 parent: false
00:49:11 DEBUG/INET: SIF: 2 Accept LAN_EN1-0[1000:192.168.1.20:8] -> WAN_DSL[10001:209.85.129.147:0] echo:1
00:49:11 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.1.20:9/84.149.184.107:32772 -> 209.85.129.147:0
00:49:42 DEBUG/INET: dnsd: qry from 192.168.2.20:1029 id 95 "www.google.de." A 1
00:49:42 DEBUG/INET: dnsd: cache 209.85.129.147 for www.google.de.
00:49:42 DEBUG/INET: dnsd: rsp to 192.168.2.20:1029 id 95 "www.google.de." A 1/0/0
00:49:42 DEBUG/INET: new session, 192.168.2.20:8->209.85.129.147:0 prot: 1 parent: false
00:49:42 DEBUG/INET: SIF: No Rule Ignore [5000:192.168.2.20:8] -> [10001:209.85.129.147:0] :1
00:49:43 DEBUG/INET: NAT: delete session on ifc 10001 prot 1 192.168.1.20:9/84.149.184.107:32772 <-> 209.85.129.147:0
00:49:43 DEBUG/INET: TIMEOUT Session expired: 192.168.1.20:8->209.85.129.147:0 prot=1
00:49:43 DEBUG/INET: destroy session, 192.168.1.20:8->209.85.129.147:0 prot:1
00:50:19 DEBUG/INET: SIF: 3 Accept 192.168.2.1[5000:192.168.2.1:8] -> WAN_DSL[10001:209.85.129.147:0] echo:1
00:50:19 DEBUG/INET: NAT: new outgoing session on ifc 10001 prot 1 192.168.2.1:9/84.149.184.107:32773 -> 209.85.129.147:0
dm