7
IPv4 Filterregeln erstellen
Hallo Wissende, hier eine Frage von einem der glaubt (dass er was weiß)!
Mein Netzwerk daheim ist aufgeteilt in zwei Subnetze, xxxx.xxxx.37.0 (Bridge_0) und xxxx.xxxx.186.0 (EN1-4)
Im Subnetz .37 sind die Geräte auf die ich -oder Vertraute- über WAN zugreifen wollen. Im Subnetz .186 sind die einzelnen Rechner auf die sonst niemand zugreifen darf.
Leider mehren sich in letzter Zeit die illegalen Login-Versuche auf meinen Kameras im .37er Netz, so dass ich geglaubt habe mit meinem begrenzten Wissen dafür Filterregeln erstellen zu können, was mir aber offensichtlich nicht gelingt, weil die illegalen Zugriffsversuche weiter geloggt werden.
Ich habe in meinem Router be.ip plus folgende Filterregeln erstellt und aktiviert:
Dienst: alle
Zieladresse:Netzwerk xxxx.xxxx.37.0 mit 255.255.255.0
Quelladresse: 66.175.208.0 mit 255.255.255.0
Regelkette: Zulassen wenn Filter nicht passt
Schnittstellenzuweisung: Bridge_0, verwerfen ohne Rückmeldung, Berichtsmethode Info
In der Firewall ist Bridge_0 und EN1-4 als vertrauenswürdige Schnittstelle eingetragen. Wenn ich Bridge_0 von den vertrauenswürdigen Schnittstellen rausnehme, kann ich von EN1-4 zwar noch auf die Kameras zugreifen, auch alle Menüpunkte aufrufen außer "Webserver Logdatei" die mir halt sagt ob da illegale Login-Versuche waren.
Was mache ich da falsch?
Mein Netzwerk daheim ist aufgeteilt in zwei Subnetze, xxxx.xxxx.37.0 (Bridge_0) und xxxx.xxxx.186.0 (EN1-4)
Im Subnetz .37 sind die Geräte auf die ich -oder Vertraute- über WAN zugreifen wollen. Im Subnetz .186 sind die einzelnen Rechner auf die sonst niemand zugreifen darf.
Leider mehren sich in letzter Zeit die illegalen Login-Versuche auf meinen Kameras im .37er Netz, so dass ich geglaubt habe mit meinem begrenzten Wissen dafür Filterregeln erstellen zu können, was mir aber offensichtlich nicht gelingt, weil die illegalen Zugriffsversuche weiter geloggt werden.
Ich habe in meinem Router be.ip plus folgende Filterregeln erstellt und aktiviert:
Dienst: alle
Zieladresse:Netzwerk xxxx.xxxx.37.0 mit 255.255.255.0
Quelladresse: 66.175.208.0 mit 255.255.255.0
Regelkette: Zulassen wenn Filter nicht passt
Schnittstellenzuweisung: Bridge_0, verwerfen ohne Rückmeldung, Berichtsmethode Info
In der Firewall ist Bridge_0 und EN1-4 als vertrauenswürdige Schnittstelle eingetragen. Wenn ich Bridge_0 von den vertrauenswürdigen Schnittstellen rausnehme, kann ich von EN1-4 zwar noch auf die Kameras zugreifen, auch alle Menüpunkte aufrufen außer "Webserver Logdatei" die mir halt sagt ob da illegale Login-Versuche waren.
Was mache ich da falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33176350403
Url: https://administrator.de/contentid/33176350403
Printed on: April 29, 2024 at 19:04 o'clock
7 Comments
Latest comment
Hallo
MfG
Zitat von @bubblegun:
Mein Netzwerk daheim ist aufgeteilt in zwei Subnetze, xxxx.xxxx.37.0 (Bridge_0) und xxxx.xxxx.186.0 (EN1-4)
GutMein Netzwerk daheim ist aufgeteilt in zwei Subnetze, xxxx.xxxx.37.0 (Bridge_0) und xxxx.xxxx.186.0 (EN1-4)
Im Subnetz .37 sind die Geräte auf die ich -oder Vertraute- über WAN zugreifen wollen.
Also quasi eine DMZ?Im Subnetz .186 sind die einzelnen Rechner auf die sonst niemand zugreifen darf.
Also dein INTERNAL LANLeider mehren sich in letzter Zeit die illegalen Login-Versuche auf meinen Kameras im .37er Netz, so dass ich geglaubt habe mit meinem begrenzten Wissen dafür Filterregeln erstellen zu können, was mir aber offensichtlich nicht gelingt, weil die illegalen Zugriffsversuche weiter geloggt werden.
Um korrekte Filterregeln setzen zu können muss man erstmal wissen, von "wo" illegale Logins stattfinden. Aus dem Internet? Aus dem 186er Netz?Ich habe in meinem Router be.ip plus folgende Filterregeln erstellt und aktiviert:
Den Router kenne ich nicht, was aber nichts bedeuten muss. Kann der Router eigene Subnetze und firewalling überhaupt?Dienst: alle
Zieladresse:Netzwerk xxxx.xxxx.37.0 mit 255.255.255.0
Quelladresse: 66.175.208.0 mit 255.255.255.0
Regelkette: Zulassen wenn Filter nicht passt
Hm? Das ergibt ja keinen Sinn. Damit gibts du im Grunde dem kompletten Internet Zugriff mit allen Ports auf deine DMZ frei...Zieladresse:Netzwerk xxxx.xxxx.37.0 mit 255.255.255.0
Quelladresse: 66.175.208.0 mit 255.255.255.0
Regelkette: Zulassen wenn Filter nicht passt
Schnittstellenzuweisung: Bridge_0, verwerfen ohne Rückmeldung, Berichtsmethode Info
In der Firewall ist Bridge_0 und EN1-4 als vertrauenswürdige Schnittstelle eingetragen. Wenn ich Bridge_0 von den vertrauenswürdigen Schnittstellen rausnehme, kann ich von EN1-4 zwar noch auf die Kameras zugreifen, auch alle Menüpunkte aufrufen außer "Webserver Logdatei" die mir halt sagt ob da illegale Login-Versuche waren.
Dazu kenne ich die be.ip plus nicht. Aber wenn es sich um reguläre Portweiterleitungen handelt müsste das zunächst der Zugriff auf den WAN-Port sein > erst dann wird der Port weitergeleitet. Kannst du mal Screenshots deiner Konfiguration machen?In der Firewall ist Bridge_0 und EN1-4 als vertrauenswürdige Schnittstelle eingetragen. Wenn ich Bridge_0 von den vertrauenswürdigen Schnittstellen rausnehme, kann ich von EN1-4 zwar noch auf die Kameras zugreifen, auch alle Menüpunkte aufrufen außer "Webserver Logdatei" die mir halt sagt ob da illegale Login-Versuche waren.
Was mache ich da falsch?
Ich würde empfehlen, einen anderen Router/Firewall zu nutzen. OPNsense oder pfSense, da gilt ganz klar: Alles was nicht explizit erlaubt wird, wird blockiert. Ich weiß nicht, inwiefern be.ip plus das auch so handhabt.MfG
1
Die Bintec-Elmeg be.ip plus ist eigentlich auch sowas wie eine "eierlegende Wollmilchsau", aber etwas schwierig zu beherrschen wenn man zu wenig Ahnung hat.
Die illegalen Zugriffe erfolgen aus dem Internet. Also muss ich in der Regelkette für diese IP/das Netzwerk definieren "verweigern wenn Filter passt".
Grundsätzlich ist ja NAT vorgeschaltet, da sind die Freigaben mit Portweiterleitungen eingetragen. Das sind meine Kameras, das NAS (RS819), und meine Telefonanlage. Diese Weiterleitungen sind deshalb eingerichtet, damit ich (oder vertraute Personen) von ihren Rechnern darauf zugreifen können. VPN gestaltet sich schwierig, auf dem NAS ist auch nichts lebenswichtiges. Es ärgert mich halt einfach dass immer wieder INet-Nutzer so respektlos sind und versuchen sich da einzuloggen.
Die illegalen Zugriffe erfolgen aus dem Internet. Also muss ich in der Regelkette für diese IP/das Netzwerk definieren "verweigern wenn Filter passt".
Grundsätzlich ist ja NAT vorgeschaltet, da sind die Freigaben mit Portweiterleitungen eingetragen. Das sind meine Kameras, das NAS (RS819), und meine Telefonanlage. Diese Weiterleitungen sind deshalb eingerichtet, damit ich (oder vertraute Personen) von ihren Rechnern darauf zugreifen können. VPN gestaltet sich schwierig, auf dem NAS ist auch nichts lebenswichtiges. Es ärgert mich halt einfach dass immer wieder INet-Nutzer so respektlos sind und versuchen sich da einzuloggen.
Irgendwo bei uns läuft auch dieses be.ip-Teil. Eben als TK-Anlage und daher quasi öffentlich im Netz. Ich hab mich mit dem teil nie richtig beschäftigt. Alles, was dahinter ist, wird per Lancom (VPN-Router) geregelt.
Ich hab das Dings auch nur zwangsweise, weil eingemietet in Fremdgebäude und vorhandener Haus- und Hoflektriker eher keine Ahnung hat und nur mit dem Teil TK kann.
Wenn der Genosse aber solche Regeln kann, wie du das angeführt hast, dann kannst du ja mit einer Whitelist arbeiten. Also nur alles von einer bekannten IP auf das Netz lassen.
Eine Blacklist "verweigern wenn Filter passt" ist machbar, aber halt sehr aufwendig. Im ersten Post hast du aber die Regel anders lauten lassen.
Ich hab das Dings auch nur zwangsweise, weil eingemietet in Fremdgebäude und vorhandener Haus- und Hoflektriker eher keine Ahnung hat und nur mit dem Teil TK kann.
Wenn der Genosse aber solche Regeln kann, wie du das angeführt hast, dann kannst du ja mit einer Whitelist arbeiten. Also nur alles von einer bekannten IP auf das Netz lassen.
Eine Blacklist "verweigern wenn Filter passt" ist machbar, aber halt sehr aufwendig. Im ersten Post hast du aber die Regel anders lauten lassen.
Bei "Port Weiterleitungen" auf NAS und Kameras kann man eigentlich aufhören weiterzulesen. Wer heute so völlig ungeschützten Internet Traffic auf solche Komponenten leitet ohne ein VPN handelt zumindest fahrlässig um politisch korrekt zu bleiben.
Die Bintec-Elmeg be.ip plus ist ein VPN Router. Völlig unverständlich wenn man das nicht nutzt.
Kein Wunder also das man dann am Internet Kamera Pranger als Dummie landet. Da werden auch Filter wenig nützen...
Die Bintec-Elmeg be.ip plus ist ein VPN Router. Völlig unverständlich wenn man das nicht nutzt.
Kein Wunder also das man dann am Internet Kamera Pranger als Dummie landet. Da werden auch Filter wenig nützen...
Zitat von @kpunkt:
Irgendwo bei uns läuft auch dieses be.ip-Teil. Eben als TK-Anlage und daher quasi öffentlich im Netz. Ich hab mich mit dem teil nie richtig beschäftigt. Alles, was dahinter ist, wird per Lancom (VPN-Router) geregelt.
Ich hab das Dings auch nur zwangsweise, weil eingemietet in Fremdgebäude und vorhandener Haus- und Hoflektriker eher keine Ahnung hat und nur mit dem Teil TK kann.
Wenn der Genosse aber solche Regeln kann, wie du das angeführt hast, dann kannst du ja mit einer Whitelist arbeiten. Also nur alles von einer bekannten IP auf das Netz lassen.
Eine Blacklist "verweigern wenn Filter passt" ist machbar, aber halt sehr aufwendig. Im ersten Post hast du aber die Regel anders lauten lassen.
Irgendwo bei uns läuft auch dieses be.ip-Teil. Eben als TK-Anlage und daher quasi öffentlich im Netz. Ich hab mich mit dem teil nie richtig beschäftigt. Alles, was dahinter ist, wird per Lancom (VPN-Router) geregelt.
Ich hab das Dings auch nur zwangsweise, weil eingemietet in Fremdgebäude und vorhandener Haus- und Hoflektriker eher keine Ahnung hat und nur mit dem Teil TK kann.
Wenn der Genosse aber solche Regeln kann, wie du das angeführt hast, dann kannst du ja mit einer Whitelist arbeiten. Also nur alles von einer bekannten IP auf das Netz lassen.
Eine Blacklist "verweigern wenn Filter passt" ist machbar, aber halt sehr aufwendig. Im ersten Post hast du aber die Regel anders lauten lassen.
Diese Blacklist meinte ich damit eingerichtet zu haben wenn ich "Zulassen, wenn Filter nicht passt" gewählt habe. Denn im Filter ist das Netzwerk 66.175.208.0/255.255.255.0 angegeben, das nicht auf die Kameras zugreifen darf. Das verstehe ich so, dass alles was nicht von diesem Netzwerk kommt zugelassen wird. Wenn ich jetzt "verweigern wenn Filter passt" einrichte, dann werden alle ausgesperrt auf die der Filter nicht passt? Ich hab dann jedenfalls von meinem internen Netz .186.0 keinen Zugriff mehr auf meine Kameras.
@aqui: Bei den ganzen wechselnden Positionen und unterschiedlichen Rechnern, und Vertrauten die sich recht wenig mit der Materie befassen ist es ganz einfach nicht möglich "überall" VPN einzurichten, mein ich!
Diese Blacklist meinte ich damit eingerichtet zu haben wenn ich "Zulassen, wenn Filter nicht passt" gewählt habe. Denn im Filter ist das Netzwerk 66.175.208.0/255.255.255.0 angegeben. Das verstehe ich so, dass alles was nicht von diesem Netzwerk kommt zugelassen wird.
Das stimmt schon. Du hast da ein paar IPs gesperrt. Nur lässt du da alle IPs in dein Netz, die nicht aus diesem IP-Bereich kommen. Z.B. 66.175.209.1 ist zugelassen.
Du willst aber alles aus dem Netz sperren, aber alle anderen nicht freigeben. Daher alles sperren und nur dir bekannte IPs freigeben. Ist deutlich weniger Arbeit.
Du solltest dir vielleicht erstmal Gedanken machen, wer denn tatsächlich so alles in dein Netz darf. Wenn du das aufs Papier bringst, tust du dir auch mit den Regeln leichter.
Die be.ip plus kann NAT-Regeln definieren und hat grundsätzlich eine Firewall.
In der Firewall gibt es Standardfilterregeln mit "vertrauenswürdigen" und "nicht vertrauenswürdigen" Schnittstellen. Dort werden erstmal alle Zugriffe aus den "nicht vertrauenswürdigen" Schnittstellen verweigert. Dann gebe ich dort in der Firewall an, wer über welche Schnittstelle wohin zugreifen darf. Da sind dann halt die Kameras, Telefonanlage und NAS für den Zugriff vom WAN aus freigegeben. Es fanden früher mal ein paar Login-Versuche auf den Kameras statt, aber es wird immer mehr. Der Syslog-Server zeigt mir aber ansonsten keinerlei Zugriffsversuche! Und deshalb wollte ich das gerne mit einer Blacklist machen, weil die legalen Einwahlversuche von den IP's her doch recht breit gestreut sind, je nachdem von woher sich ein User einloggt.
In der Firewall gibt es Standardfilterregeln mit "vertrauenswürdigen" und "nicht vertrauenswürdigen" Schnittstellen. Dort werden erstmal alle Zugriffe aus den "nicht vertrauenswürdigen" Schnittstellen verweigert. Dann gebe ich dort in der Firewall an, wer über welche Schnittstelle wohin zugreifen darf. Da sind dann halt die Kameras, Telefonanlage und NAS für den Zugriff vom WAN aus freigegeben. Es fanden früher mal ein paar Login-Versuche auf den Kameras statt, aber es wird immer mehr. Der Syslog-Server zeigt mir aber ansonsten keinerlei Zugriffsversuche! Und deshalb wollte ich das gerne mit einer Blacklist machen, weil die legalen Einwahlversuche von den IP's her doch recht breit gestreut sind, je nachdem von woher sich ein User einloggt.
