Firewall und ihre Regeln?
Hallo Zusammen
Ich mach mir wieder mal zu viel Gedanken über ein IT-Thema :P
Wenn ich eine Firewall installiere mit einer WAN-, LAN- und DMZ-Schnittstelle. In der DMZ steht ein Webserver, welchen ich aus dem LAN erreichen möchte, muss ich doch logischerweise auf beiden Schnittstellen die Ports öffnen oder nicht? Da ja Traffic welcher hineinkommt und hinausgeht an den jeweiligen Schnittstellen standardmässig zu geblockt werden...
Ich habe dies mal in einer Testumgebung getestet mittels einem IIS-Webserver in der DMZ, einer pfSense-Firewall und einem Windows-Server im LAN. Mir geht einfach nicht in Kopf warum ich die Regel auf der LAN-Schnittstelle einrichten musste? Klar, ich will ja nach draussen über irgendeinen Port und ich will eine Antwort über Port 80. Muss ich das gleiche Spiel umgekehrt nicht an der DMZ-Schnittstelle auch einrichten?!
1 Antwort
Sofern du vom LAN keine Regel vom Prinzip Allow Any to Any hast, werden da auch ausgehende Verbindungen in andere Netze blockiert.
Und nein, sofern du die Firewall stateful hältst, reicht es die Verbindung in die DMZ zu erlauben. Die Antwort wird dann implizit auch erlaubt, ohne zusätzliche Regeln einrichten zu müssen
Jup.
Nehmen wir Mal an, es werden Verbindungen ohne Regeln blockiert. Nehmen wir an, es gibt Subnetz A und Subnetz B. In B wird ein Server gehostet und A soll darauf zugreifen können.
Es muss jetzt einfach nur eine Regel existieren, die ausgehende Verbindungen von A nach B erlaubt. Sofern die Firewall stateful ist, wird auch die Rückantwort durchgelassen.
Anders wird es auch relativ schwierig, den richtigen Port für die Antwort freizugeben, denn in der Regel wird Source Port Randomization benutzt - der Ursprungsport einer Anfrage an den Server ist zufällig
Vielen Dank für die ausführliche Antwort! Was heisst den genau "statefull"?
Also heisst dass ich muss nur immer eine Regel vom Netzwerk erstellen / erlauben, von diesem ich ins andere Netzwerk will?