Welche Richtlinie eines Paketfilters?

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

die letzte Richtlinie verwirft alle any Datenpakete von und zu any.

damit wird alles, was nicht woanders zugelassen ist, geblockt. damit ist der Sinn der Firewall ja erst erfüllt.

Woher ich das weiß:
Berufserfahrung
5

Sprich, die letzte Richtlinie muss das Datenpaket auf jeden Fall verwerfen?

0
15
@Sniprino

jupp. sonst ist der Zweck ja nicht erfüllt.

alle anderen Richtlinien vorher legen fest, was geschieht oder nicht geschieht.
die letzte verwirft dann den ganzen Rest, der nicht definiert ist, und macht die Firewall dicht.

die Firewall ist ja wie ein Haus mit Fenstern. die offenen Fenster lassen Datenverkehr zu, der Rest des Hauses ist dicht. da zieht nix durch die Wände, alle Türen und Fenster zu bis auf ein paar wenige definierte. der Rest ist Mauerwerk.

1
5
@Phoenix2018

Total verständlich erklärt. Danke dir. Habe da auch noch was. Also passt es mit deiner Erklärung überein? Weil für mich klingt es irgendwie, dass es vom Anwendungsfall abhänging ist?

Der Paketfilter arbeitet seine Richtlinien der Reihe nach ab und vergleicht die entsprechenden Parameter der Datenpakets mit den Richtlinien. Erfüllt das Datenpaket eine Erlaubnisrichtlinie, wird es vom Paketfilter weitervermittelt. Erfüllt das Datenpaket eine Verbotsrichtlinie, wird es verworfen. Erfüllt es keine Richtlinie, wird es ebenfalls verworfen. Die letzte Richtlinie, die dies steuert, muss entweder explizit in den Paketfilter eingetragen werden oder ist vom Hersteller bereits implizit konfiguriert.

0
15
@Sniprino

das weiß ich nicht, ob es Firewalls gibt die diese letzte Richtlinie automatisch haben, dass also undefinierte Ports und Pakete automatisch verworfen werden.

aber ich denke dass es so oder so Sinn macht, diese letzte deny Richtlinie immer einzutragen.
das haben wir in der Ausbildung beim Thema Firewall und Firewallregeln immer getan.

das einzige was eine SPI-Firewall nicht braucht, sind Eingangsregeln, wenn eine Ausgangsregel definiert ist, weil dies automatisch offengehalten wird als Antwortkanal.

1
5
@Phoenix2018

Du hast mit deiner Aussage recht.

Es kann natürlich auch passieren, dass alle Richtlinien auf das Datenpaket angewendet werden, aber keine der Richtlinien wird vom Datenpaket erfüllt.

Die letzte Richtlinie muss daher immer alles verbieten, d.h., erreicht das Datenpaket die letzte Richtlinie, weil es noch keine andere Richtlinie erfüllt hat, so muss es verworfen werden. In den meisten Paketfiltern ist diese Richtlinie implizit enthalten, sodass es nicht eigens eingerichtet werden muss.

0

Also wenn die letzte Richtlinie das Paket nicht durchlässt, hört der Admin ständig Beschwerden seiner User, dass sie ja im Internet gar nichts machen können.

Und wenn die vorhergehenden Regeln schon alles erlauben, darf die letzte Regel gern alles verbieten.

Als Policy für die OUTPUT Chain nehme ich immer ACCEPT.

Das hängt ganz klar vom Anwendungsfall ab.

5

Vielen, lieben Dank für deine Antwort. Hättest du vllt für mich ein Bsp. wo ich es besser verstehen könnte? Steh momentan aufm Schlauch.

0
15
@Sniprino

ich bin der Meinung dass in der Firewall, um deren Zweck zu erfüllen und das Netzwerk zu schützen die letzte Richtlinie immer alles verwerfen muss. sonst steht die ja offen. das ist dann auch nicht abhängig von einem Anwendungsfall, sondern immer weg und dicht.

wenn eine Richtlinie etwas festgelegt hat, dann bleibt das auch, da helfen nachgeordnete Richtlinien dem nicht entgegen. also werden auch keine Ports gesperrt durch any, die vorher durch eine spezielle Richtlinie geöffnet wurden.

1
5

Der Paketfilter arbeitet seine Richtlinien der Reihe nach ab und vergleicht die entsprechenden Parameter der Datenpakets mit den Richtlinien. Erfüllt das Datenpaket eine Erlaubnisrichtlinie, wird es vom Paketfilter weitervermittelt. Erfüllt das Datenpaket eine Verbotsrichtlinie, wird es verworfen. Erfüllt es keine Richtlinie, wird es ebenfalls verworfen. Die letzte Richtlinie, die dies steuert, muss entweder explizit in den Paketfilter eingetragen werden oder ist vom Hersteller bereits implizit konfiguriert.

Also verstehe es auch so, dass vom Anwendungsfall abhängt oder liege ich falsch?

0
33
@Sniprino

Das ist ein spezifischer Modus.

Paketfilter haben 2 grundlegende Modi: Verwerfe alles, erlaube alles.

Diese Grundpolicy steht also implizit als letzte Regel dort. Habe ich eine Grundpolicy, die verwirft, dann definiere ich in der Regel nur Richtlinien, die Pakete passieren lassen, da alles andere ausgefilter wird.

Lässt die Policy alles durch, dann filtere ich explizit Paketströme aus.

Kennt das System keine Policy, hat also eine implizite Endregel (die unveränderlich ist), dann muß ich in Abhängigkeit dieser Regel ggf. eine Endregel zur Invertierung des Modus einfügen.

Deswegen hängt es (IMHO) vom Anwendungsfall ab.

0

Wovon hängt die Korrosionsart ab bei einem Metall?

Wovon hängt es ab, ob ein Metall eine Sauerstoff- oder Säurekorrosion erfährt? Es ist doch in jedem Fall eigentlich Sauerstoff vorhanden, aber es kommt doch nur zur Säurekorrosion wenn keines vorhanden ist.

...zur Frage

Wird die Zeit beim Arzt auf die reguläre Arbeitszeit angerechnet oder hängt das vom Arbeitgeber ab?

Also wenn man während der eigentlichen Arbeitszeit einen Arzttermin hat. Muss man das in jedem Fall nacharbeiten?

...zur Frage

Nacht durchmachen und lernen oder schlafen gehen und schlechte Note riskieren?

Ich habe morgen Mathe- Schularbeit und habe überhaupt noch nicht gelernt, ist die letzte dieses Jahr und davon hängt ab, ob ich 'ne 2 oder 3 bekomme. Was würdet Ihr machen?

...zur Frage

BITTE HILFE, mein macbook startet nicht?

Hey,
Mein macbook (pro, 2016) ist hängt ab und zu, wenn ein Update bevorsteht. Wenn ich ihn deshalb ausschalte und neustarte kommt das apple zeichen und eine „zeitleiste“. Wenn die zeitleiste voll ist bin ich normalerweise wieder wie normal auf dem startbildschirm. Als das das letzte mal der fall war, war die zeitleiste voll und er war eingefroren bis er sich dann irgendwann selbst ausgeschaltet hat. Dannach habe ich oft versucht ihn neuzustarten aber er ist jedes mal schon bei der hälfte der zeitleiste abgestürzt.

Woran kann das liegen?

...zur Frage

Welpen zurück geben an Züchterin - Erstattung des Kaufpreises?

Wenn ein Hundekäufer einen Welpen nach einigen Wochen an den Züchter zurück gibt, weil er seinen Aufgaben nicht gewachsen ist und Probleme hat oder krank wurde usw. - Wie sieht es dann mit dem bezahlten Kaufpreis aus? Wie sind die Gepflogenheiten?

Hängt das von den Rückgabegründen ab und vom Zustand des jungen Hundes?

Der Züchter muss dann ein zweites Mal einen Käufer für den Hund finden.

Gibt es da irgendwelche allgemeinen Richtlinien ?

...zur Frage

Was möchtest Du wissen?