Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    FW rules - Verständnisfrage

    Deutsch
    5
    10
    1032
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      esquire1968 last edited by

      Hallo zusammen!

      Habe bei der Erstellung von Rules ein kleines Verständnisproblem - hoffe Ihr könnt mit dabei helfen:

      1. Ich möchte die Apple Update Seite sperren, so dass kein Gerät ein Update erhält, bzw. es nicht möglich ist einen download zu starten. Mir ist nicht klar, ob ich eine inbound oder outbound rule erstellen soll - oder gar beides.

      2. Ich verwenden das Package pfBlocker. Hier kann ich z. B. die Top 20 Spammer Countries auswählen. Gleiche Frage "deny inbound", deny inbound oder deny both.

      3. Im pfBlocker habe ich eine Blacklist eingetragen - gleiche Frage.

      Danke schon mal vorab.

      LG
      esquire1968

      1 Reply Last reply Reply Quote 0
      • -flo- 0
        -flo- 0 last edited by

        ad 1) Der Zugriff auf einen Apple-Update-Server erfolgt von den Apple-Geräten aus Deinem LAN heraus. Also brauchst Du eine Regel für das LAN Interface. Hier trägst Du den oder die Apple-Zielserver ein und legst fest, daß der Verkehr geblockt wird.

        -flo-

        1 Reply Last reply Reply Quote 0
        • E
          esquire1968 last edited by

          Als Floating Rule müsste diese dann so aussehen?


          1 Reply Last reply Reply Quote 0
          • -flo- 0
            -flo- 0 last edited by

            Ja, sieht gut aus.

            Anstelle einer Floating Rule wäre auch eine Interface group möglich für Deine beiden Interfaces LAN und OPT2.

            Ob Du die richtigen Apple-Server in der Alias-Gruppe hast, kann ich nicht beurteilen. Das könnte sich mit der Zeit auch ändern …

            Ob es funktioniert, kannst Du ganz leicht anhand der Firewall-Logs selbst prüfen. Evtl. ist es sinnvoll bei anderen Regeln das Logging dazu vorübergehend auszuschalten, aber das Log kann man auch ganz gut filtern. Was leider nicht geht ist Filtern, während das Firewall-Log im dynamischen Modus angezeigt wird.

            -flo-

            1 Reply Last reply Reply Quote 0
            • JeGr
              JeGr LAYER 8 Moderator last edited by

              Ich würde an der Stelle auch lieber mit 2 normalen Regeln arbeiten, als mit Floating Rules. Da diese immer einen "Sonderstatus" einnehmen, baut man sich da leicht Problemchen, die nicht sein müssen. Bei einigen sehr komplexen Problemen können sie ganz hilfreich sein, aber ich würde hier lieber 2 normale einzelne Regeln machen, das ist dann auch für die Interfaces verständlicher. Zudem werden Floatings immer vor den eigentlichen Interface Regeln abgearbeitet, das kann dann an anderer Stelle zu ungewollten Nebeneffekten kommen.

              Grüße

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • E
                esquire1968 last edited by

                OK!
                Danke sehr!

                Wenn ich allerdings bestimmte Ports für alle IF sperren möchte (z. B. Prot 138 …), wäre da nicht eine Floating Rule das einfachste?

                esquire1968

                1 Reply Last reply Reply Quote 0
                • JeGr
                  JeGr LAYER 8 Moderator last edited by

                  Sofern es nur ein Port für alle ist, mag das sein. Meistens läufts aber eher so ab, dass man dann auf dem LAN/DMZ/OPT Interface doch noch das ein oder andere mehr blockt, auf WAN ist eh alles verboten was nicht erlaubt ist und am Ende muss man es auf einem Interface wieder rausnehmen, weil es da doch jemand stört ;)

                  Deshalb hab ich es so gemacht, dass ich für LAN und ggf. OPT/DMZ/sonstwas Interfaces bei Bedarf einfach eine Block Regel ganz oben in der Liste habe, die Pakete rejected und nicht loggt und ein Alias hat. Sowas wie P_unwantedLAN, P_unwantedOPT1. Damit kann man das dann später recht einfach ergänzen wenn man doch mal ein Interface abschwächen muss.

                  Grüße

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • ?
                    Guest last edited by

                    1. Ich möchte die Apple Update Seite sperren, so dass kein Gerät ein Update erhält,

                    Stelle aber bitte sicher, das die iGeräte dann nicht via Mobilfunk danach suchen, sonst ist das Volumen
                    des Vertrages immer sehr schnell aufgebraucht, allerdings auch das des Internetanschlusses.

                    1 Reply Last reply Reply Quote 0
                    • E
                      esquire1968 last edited by

                      Klar! Es handelt sich primär um ein iPad2 ohne UMTS - ich möchte verhindern, dass eines meiner Kids hier ein Update auf 8.x durchführt - nach dem Motto "… toll da gibt es was Neues ..."

                      LG
                      esquire1968

                      1 Reply Last reply Reply Quote 0
                      • C
                        costa last edited by

                        Wenn ich mich nicht ganz täusche, kann man Aktualisierungen mittels Kindersicherung (Einstellungen -> Allgemein -> Einschränkungen) unterbinden. Kann man zur Not auch mal versuchen  :)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post