IP-Cameras das "Nachhausetelefonieren" abgewöhnen, jedoch Mailversand zulassen



  • Hallo zusammen,
    ich versuche seit einiger Zeit im Betreff genanntes mittels Firewall-Rules zu realisieren - leider erfolglos. Evtl. liegt hier ja ein Denkfehler vor oder aber es fehlt der berühmt berüchtigte Schubser in die richtige Richtung ….

    Ausgangssituation:

    • Version: 2.3.4-RELEASE (amd64)

    • 2 angelegte Aliases: IP-Cams (mit den IP-Adressen der IP-Cams) / Allowed_WAN-Targets (Liste externe Adresse/n, FQD und IP -> Mailhoster)

    • angelegte Firewall-Rule auf dem LAN-Interface: Block, Source Aliases IP-Cams, Target Invert Aliases Allowed_WAN-Targets

    Nach meinem Verständnis sollte somit die Kommunikation der IP-Cams mit dem Internet unter Berücksichtigung der Ausnahme Allowed_WAN-Targets geblockt werden.
    Sprich die Cams können nicht "nach Hause telefonieren" aber eine Verbindung mit einem unter Allowed_WAN-Targets gepflegten Mailserver im Internet aufnehmen.
    Leider klappt dies nicht so wie gedacht da keine Verbindung mit dem Mailserver hergestellt werden kann …
    Wird explizit diese Regel deaktiviert, klappt alles (nebst eventuell unerwünschtem Traffic).
    Auch das zusätzliche Hinzufügen einer Regel (in der Reihenfolge vor der Block-Regel) die explizit die Kommunikation von IP-Cams mit den definierten Allowed_WAN-Targets erlaubt bringt keine Änderung.

    Hat eventuelle jemand eine Idee wo hier ein vermeintlicher Denkfehler liegen könnte ….

    Danke & Gruß
    DocSlyper



  • Diese Regel blockiert ja lediglich explizit jegliche Kommunikation nach außen hin (außer Mailversand halt), jedoch erlaubt diese noch nicht die Kommunikation zum Mailversand selbst. Sprich, du müsstest noch eine allow-rule für die Cams erstellen, falls keine allgemeine allow-any-rule vorhanden ist.



  • Mache den Regelsatz einfach(er):
    -allow Cam-Alias zu Mailserver mit mail Ports
    -reject/block Cam-Alias zum Rest der Welt (*)


  • Moderator

    Dito was Chris sagt. Ich würde da auch nicht mit invertiertem Ziel arbeiten, das ist meist fehleranfällig weil es eher für andere Regelkonstellationen gedacht ist. In deinem Fall gibst du ja vorher explizit frei was du möchtest und kannst danach einfach alles blocken. Wenn unten drunter nicht noch eine allow any Regel kommt ist der Block sogar völlig überflüssig weil sowieso eine block any Regel implizit folgt.

    Gruß



  • Hey ho,
    sooo … jetzt klappt es.
    Habe zusätzlich vor der "Block-Regel" eine "Allow-Regel" für den Mailserver gesetzt - es somit quasi sauber getrennt (und werde es zukünftig auch so beibehalten)  :D
    Erst wird explizit erlaubt was erlaubt ist und dann alles andere rigoros geblockt.

    Danke & Gruß DocSlyper



  • Noch eine Ergänzung: Das Zerlegen in mehrere Regeln ist auch für das Logging vorteilhaft, weil feiner steuerbar.

    -flo-