Ausgehender Datenverkehr / Firewall Allgemein

slash2die4

Hallo werte Forumsnutzer,

ich habe hier eine 2.3 Community am laufen und frage mich, wie diese ausgehende Firewall funktioniert. Ich habe schon alles versucht.

Also zu meinem Problem: Ich möchte eine Regel haben, das erst einmal "ALLES" was von Grün nach Rot geht gesperrt ist. Sprich die Firewall komplett zu ist. Danach habe ich vor mir die Drops anzuschauen und möchte dann entscheiden ob "Auf" oder "Zu".

Klingt "Nullblicker Mäßig". Aber selbst wenn ich so eine Regel erstelle, kann ich auf das Internet zugreifen. Ich muss dazu sagen das ich den Proxy eingeschaltet habe. Muss ich solche Sperren dann erstmal im Proxy einpflegen, beziehungsweise diese Ports nicht zulassen.

Bsp. Ich habe zum testen eine Regel erstellt: <ALLE> nach ROT <ALLE> Dienste und <ALLE> Ports ablehnen. Sonst keine Regel. Wenn ich aber auf der Console ein efw-upgrade mache, flitzt der durch und verbindet sich über Port 80 nach draussen.

Habe ich da etwas nicht verstanden. Für einen hilfreichen Tip oder Link wäre ich sehr dankbar, weil ich das Teil produktiv einsetzen möchte und deshalb sicher gehen muss, ob mein Regelwerk zieht.

Vielen Dank,

Gruß Andi

Sabine

Hallo slash2die4,
eigentlich sind bei einer Firewall standardmäßig alle Pots geschlossen. Bei der efw ist es so das einige Ports von vornherein offen
sind damit auch Anfänger damit zurecht kommen. Siehe unter „ Systemzugriff \ Regeln der Systemdienste anzeigen“.
z.b TCP/10443 ist standardmäßig aktiviert, damit man sich nicht selbst ausschließen kann.
Wenn du keine Regel unter „ Firewall \ Ausgehender Datenverkehr“ erstellst und aktivierst geht auch nicht viel raus,
ich sehe da zur Zeit nur Port 53 für DNS.

Gruß sabine

slash2die4

Hallo Sabine,

vielen Dank. Das erklärt einiges

Bloß kann man diese Systemregeln ja garnicht verändern, das heißt, grundsätzlich hat jeder Zugriff auf Port8080 usw. der im Netzwerk GRÜN hängt. Das heißt aber auch, das jeder NTP machen darf in GRÜN oder ist das auf den Endian bezogen. Das in Klammer (Admin) heißt was, das der Endian selber und der Admin dann auf Port80 rausdürfen oder wie ist das zu interpretieren ?

Vielen Dank für Deine Antwort

Gruß Andi

Sabine

Ja, das ist soweit richtig. Der Standard Proxy- Port ist offen genau wie DNS. Der Port 80 geht aber standardmäßig nicht nach draußen.
Nur der Proxy- Port nützt einem nichts ohne Proxy, sollte da mal was rausgehen landet das auch mit Port 8080 im Internet
und keiner kann damit was anfangen.

Gruß Sabine

Grenzwert

@ slash2die4 , ich beschäftige mich zwar auch erst seit ganz Kurzem mit der Endian, aber die Portsperren der Firewall funktionieren ganz gut.
Und zwar unabhängig vom Proxy. Zudem ist auch fast jeder Port standardmäßig zu. Sogar der Zeitserverport NTP Port123 war zu, und schon wollten einige Uhren nicht mehr.
Welche Ports offen sind siehst du an der Standardregel der Firewall.
Änderst du diese Regel schliessen sich auch diese Ports.

Zudem ist zu beachten das verschiedene Regeln nicht nacheinander abgearbeitet werden, sondern die an oberer Stelle stehende Regel bei Widersprüchen greift.

Erst gestern schaute ich mir mit Hilfe des praktischen "Livelog" die "Outgoing Firewall" an um zu sehen welche Ports die Anwendung anforderte und warum sie nicht funktionierte.
Habe darauf hin nachgeschlagen welche Bedeutung diese 16 Ports haben und öffnete sie per neuer, ergänzender Regel. Bingo - läuft.

Sabine

Das ist richtig, die Firewall Regeln haben Vorrang und die Firewall arbeitet die Regel wie jede andere Firewall auch von oben nach unten ab.
Das heißt wenn ich oben den Port 80 sperre und ihn unter wieder erlaube bleibt trotzdem zu.

Gruß Sabine