Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IP-Cameras das "Nachhausetelefonieren" abgewöhnen, jedoch Mailversand zulassen

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 5 Posters 867 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DocSlyper
      last edited by

      Hallo zusammen,
      ich versuche seit einiger Zeit im Betreff genanntes mittels Firewall-Rules zu realisieren - leider erfolglos. Evtl. liegt hier ja ein Denkfehler vor oder aber es fehlt der berühmt berüchtigte Schubser in die richtige Richtung ….

      Ausgangssituation:

      • Version: 2.3.4-RELEASE (amd64)

      • 2 angelegte Aliases: IP-Cams (mit den IP-Adressen der IP-Cams) / Allowed_WAN-Targets (Liste externe Adresse/n, FQD und IP -> Mailhoster)

      • angelegte Firewall-Rule auf dem LAN-Interface: Block, Source Aliases IP-Cams, Target Invert Aliases Allowed_WAN-Targets

      Nach meinem Verständnis sollte somit die Kommunikation der IP-Cams mit dem Internet unter Berücksichtigung der Ausnahme Allowed_WAN-Targets geblockt werden.
      Sprich die Cams können nicht "nach Hause telefonieren" aber eine Verbindung mit einem unter Allowed_WAN-Targets gepflegten Mailserver im Internet aufnehmen.
      Leider klappt dies nicht so wie gedacht da keine Verbindung mit dem Mailserver hergestellt werden kann …
      Wird explizit diese Regel deaktiviert, klappt alles (nebst eventuell unerwünschtem Traffic).
      Auch das zusätzliche Hinzufügen einer Regel (in der Reihenfolge vor der Block-Regel) die explizit die Kommunikation von IP-Cams mit den definierten Allowed_WAN-Targets erlaubt bringt keine Änderung.

      Hat eventuelle jemand eine Idee wo hier ein vermeintlicher Denkfehler liegen könnte ….

      Danke & Gruß
      DocSlyper

      1 Reply Last reply Reply Quote 0
      • U
        un1que
        last edited by

        Diese Regel blockiert ja lediglich explizit jegliche Kommunikation nach außen hin (außer Mailversand halt), jedoch erlaubt diese noch nicht die Kommunikation zum Mailversand selbst. Sprich, du müsstest noch eine allow-rule für die Cams erstellen, falls keine allgemeine allow-any-rule vorhanden ist.

        1 Reply Last reply Reply Quote 0
        • jahonixJ
          jahonix
          last edited by

          Mache den Regelsatz einfach(er):
          -allow Cam-Alias zu Mailserver mit mail Ports
          -reject/block Cam-Alias zum Rest der Welt (*)

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Dito was Chris sagt. Ich würde da auch nicht mit invertiertem Ziel arbeiten, das ist meist fehleranfällig weil es eher für andere Regelkonstellationen gedacht ist. In deinem Fall gibst du ja vorher explizit frei was du möchtest und kannst danach einfach alles blocken. Wenn unten drunter nicht noch eine allow any Regel kommt ist der Block sogar völlig überflüssig weil sowieso eine block any Regel implizit folgt.

            Gruß

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • D
              DocSlyper
              last edited by

              Hey ho,
              sooo … jetzt klappt es.
              Habe zusätzlich vor der "Block-Regel" eine "Allow-Regel" für den Mailserver gesetzt - es somit quasi sauber getrennt (und werde es zukünftig auch so beibehalten)  :D
              Erst wird explizit erlaubt was erlaubt ist und dann alles andere rigoros geblockt.

              Danke & Gruß DocSlyper

              1 Reply Last reply Reply Quote 0
              • -flo- 0-
                -flo- 0
                last edited by

                Noch eine Ergänzung: Das Zerlegen in mehrere Regeln ist auch für das Logging vorteilhaft, weil feiner steuerbar.

                -flo-

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.