Toon posts:

[Draytek] inkomend verkeer blokkeren

Pagina: 1
Acties:

dinsdag 31 augustus 2004 14:05

Acties:

Verwijderd

Topicstarter
Vigor 2200 2.3.8

Nat open gezet voor poort 3389 naar ts (Werkt)
firewall data filter ingesteld als test:
Pass or Block block immediately
duplicate to lan niet aangevinkt
Branch to Other Filter Set NONE
Direction IN
Protocol TCP
Source any 255.255.255.255/32 = start 3389 end 3389
Destination any 255.255.255.255/32 = start 3389 end 3389
Keep state niet aangevinkt
Fragments Dont care

Alleen het werkt niet!!

dinsdag 31 augustus 2004 14:06

Acties:
  • job
  • Registratie: Februari 2002
  • Laatst online: 17-05 00:37

job

Wat werkt niet. Wat wil je allemaal blokkeren?
Wie of wat is ts?

dinsdag 31 augustus 2004 14:10

Acties:
  • Xandrios
  • Registratie: Februari 2001
  • Laatst online: 21:08

Xandrios

Geef eens wat meer info? Dit is erg onduidelijk.

Daarnaast zie ik zo aan je lijstje niet dat je het daadwerkelijk blokkeerd. En wat zegt jou dat de NAT-portforward de firewall niet overruled? Zo'n poort hoor je ook niet te forwarden als je hem dan blokkeerd...

dinsdag 31 augustus 2004 14:15

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Source-poort moet je leeg laten..

Dat is namelijk de poort die de client aan zijn kant gebruikt en die is sowieso vrij random :)
Xandrios schreef op 31 augustus 2004 @ 14:10:
En wat zegt jou dat de NAT-portforward de firewall niet overruled? Zo'n poort hoor je ook niet te forwarden als je hem dan blokkeerd...
Dat is niet zo :)

Ik heb ook 1 poort geforward en heb vervolgens d.m.v. !123.123.123 alles, behalve één IP geblocked :)

OptieSetting
Pass or Blockblock immediately
duplicate to lanniet aangevinkt
Branch to Other Filter SetNONE
DirectionIN
ProtocolTCP
Sourceany 255.255.255.255/32 = start 3389 end 3389
Destinationany 255.255.255.255/32 = start 3389 end 3389
Keep stateniet aangevinkt
FragmentsDont care


Zo is 't wat duidelijker.. Je moet dus de schuingedrukte poorten (source) weghalen..

[ Voor 164% gewijzigd door Osiris op 31-08-2004 14:26 ]

dinsdag 31 augustus 2004 16:43

Acties:

Verwijderd

Topicstarter
Osiris schreef op 31 augustus 2004 @ 14:15:
Source-poort moet je leeg laten..

Dat is namelijk de poort die de client aan zijn kant gebruikt en die is sowieso vrij random :)
[...]

Dat is niet zo :)

Ik heb ook 1 poort geforward en heb vervolgens d.m.v. !123.123.123 alles, behalve één IP geblocked :)

OptieSetting
Pass or Blockblock immediately
duplicate to lanniet aangevinkt
Branch to Other Filter SetNONE
DirectionIN
ProtocolTCP
Sourceany 255.255.255.255/32 = start 3389 end 3389
Destinationany 255.255.255.255/32 = start 3389 end 3389
Keep stateniet aangevinkt
FragmentsDont care


Zo is 't wat duidelijker.. Je moet dus de schuingedrukte poorten (source) weghalen..
Bedankt. Ik had heel wat geprobeerd en het leek me makkelijkst om een voorbeeld te geven dat poort 3389 gelijk weer geblokked wordt, om te kijken of de FW werkt.
Ik kreeg het niet voor elkaar maar het lag er dus aan dat ik het schuin gedrukte gedeelte hierboven (de source poorten) moest weglaten. Moet je maar net op komen, niet echt logisch.

De uiteindelijke bedoeling was om gewoon een TS (Terminal Server) alleen van een bepaald ip(publicIP) door te laten.
Ik heb nu twee rules gemaakt 1 met het doorlaten van poort 3389 met een source adres en de 2e met block all.
Dit omdat block if no further match niet werkt (ook niet echt logisch)

Maar ja het is gelukt. (De support van draytek mag ook wel iets beter, deze geven niet echt goede aanwijzingen)

dinsdag 31 augustus 2004 17:02

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Verwijderd schreef op 31 augustus 2004 @ 16:43:
[...]

Ik kreeg het niet voor elkaar maar het lag er dus aan dat ik het schuin gedrukte gedeelte hierboven (de source poorten) moest weglaten. Moet je maar net op komen, niet echt logisch.
Wel heel erg logisch hoor:)

Een TCP-verbinding heeft twee poorten. Je krijgt meestal met maar eentje te maken, zoals poort 80 voor een webserver of poort 21 voor een FTP-server. Dit zijn dan de poorten van een server.
Echter, dat is nog maar het halve gedeelte van het verhaal. Jouw PC heeft namelijk óók poorten open staan als jij bijv een webpagina opvraagt. Deze zijn vrij willekeurig.
Zodra iemand dus met jouw server een verbinding wil maken, dan heeft deze een destination poort (bijvoorbeeld 80) maar óók een source-poort.. Immers, de pakketjes moeten de weg naar huis ook terugvinden. Zie het als een huisnummer, waarbij je IP de straat is en de poort het huisnummer is (waarbij de source dus de afzender is... Desalniettemin erg belangrijk voor terugkomende post).
Dus zodra jij die gaat setten, dan ben je de sjaak :)
Erg logisch :)
Verwijderd schreef op 31 augustus 2004 @ 16:43:
Ik heb nu twee rules gemaakt 1 met het doorlaten van poort 3389 met een source adres en de 2e met block all.
Dit omdat block if no further match niet werkt (ook niet echt logisch)
Dat is niet de functie die je zoekt..
Wat jij moet doen is het volgende:

Een block-all rule aanmaken waarbij je in eerste juist het IP wat je door wilt laten blocked. Vervolgens zet je een ! (uitroepteken) vóór dat IP. Dat uitroepteken betekend "niet". Dus je blocked alles, als het NIET dat ene IP is.. :)

dinsdag 31 augustus 2004 17:22

Acties:

Verwijderd

Topicstarter
En op het eind kan ik gewoon alle poorten blokkeren, of is dit automatisch al zo?
Als ik alle overige poorten wil tegenhouden kan ik gewoon de begin en end poorten leeg laten?

Dank voor de tips :)

dinsdag 31 augustus 2004 17:29

Acties:

Verwijderd

in principe word door NAT toch al het inkomend verkeer geblokkeerd, waarom zou je dan alle poorten willen blocken?

dinsdag 31 augustus 2004 17:34

Acties:

Verwijderd

Topicstarter
Osiris schreef op 31 augustus 2004 @ 17:02:
[...]

Wel heel erg logisch hoor:)

Een TCP-verbinding heeft twee poorten. Je krijgt meestal met maar eentje te maken, zoals poort 80 voor een webserver of poort 21 voor een FTP-server. Dit zijn dan de poorten van een server.
Echter, dat is nog maar het halve gedeelte van het verhaal. Jouw PC heeft namelijk óók poorten open staan als jij bijv een webpagina opvraagt. Deze zijn vrij willekeurig.
Zodra iemand dus met jouw server een verbinding wil maken, dan heeft deze een destination poort (bijvoorbeeld 80) maar óók een source-poort.. Immers, de pakketjes moeten de weg naar huis ook terugvinden. Zie het als een huisnummer, waarbij je IP de straat is en de poort het huisnummer is (waarbij de source dus de afzender is... Desalniettemin erg belangrijk voor terugkomende post).
Dus zodra jij die gaat setten, dan ben je de sjaak :)
Erg logisch :)


[...]

Dat is niet de functie die je zoekt..
Wat jij moet doen is het volgende:

Een block-all rule aanmaken waarbij je in eerste juist het IP wat je door wilt laten blocked. Vervolgens zet je een ! (uitroepteken) vóór dat IP. Dat uitroepteken betekend "niet". Dus je blocked alles, als het NIET dat ene IP is.. :)
Het werkt bij mij niet met block-all maar met pass immediately.

dinsdag 31 augustus 2004 17:56

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Verwijderd schreef op 31 augustus 2004 @ 17:34:
[...]

Het werkt bij mij niet met block-all maar met pass immediately.
Ik heb het als dit:

Afbeeldingslocatie: http://www.flut.demon.nl/fwnntp.png

dinsdag 31 augustus 2004 19:19

Acties:

Verwijderd

Topicstarter
[quote]Osiris schreef op 31 augustus 2004 @ 17:56:
[...]

Ik heb het als dit:

Ik nu ook :*) het is nu helemaal duidelijk
Pagina: 1
Reageer