FW rules - Verständnisfrage



  • Hallo zusammen!

    Habe bei der Erstellung von Rules ein kleines Verständnisproblem - hoffe Ihr könnt mit dabei helfen:

    1. Ich möchte die Apple Update Seite sperren, so dass kein Gerät ein Update erhält, bzw. es nicht möglich ist einen download zu starten. Mir ist nicht klar, ob ich eine inbound oder outbound rule erstellen soll - oder gar beides.

    2. Ich verwenden das Package pfBlocker. Hier kann ich z. B. die Top 20 Spammer Countries auswählen. Gleiche Frage "deny inbound", deny inbound oder deny both.

    3. Im pfBlocker habe ich eine Blacklist eingetragen - gleiche Frage.

    Danke schon mal vorab.

    LG
    esquire1968



  • ad 1) Der Zugriff auf einen Apple-Update-Server erfolgt von den Apple-Geräten aus Deinem LAN heraus. Also brauchst Du eine Regel für das LAN Interface. Hier trägst Du den oder die Apple-Zielserver ein und legst fest, daß der Verkehr geblockt wird.

    -flo-



  • Als Floating Rule müsste diese dann so aussehen?




  • Ja, sieht gut aus.

    Anstelle einer Floating Rule wäre auch eine Interface group möglich für Deine beiden Interfaces LAN und OPT2.

    Ob Du die richtigen Apple-Server in der Alias-Gruppe hast, kann ich nicht beurteilen. Das könnte sich mit der Zeit auch ändern …

    Ob es funktioniert, kannst Du ganz leicht anhand der Firewall-Logs selbst prüfen. Evtl. ist es sinnvoll bei anderen Regeln das Logging dazu vorübergehend auszuschalten, aber das Log kann man auch ganz gut filtern. Was leider nicht geht ist Filtern, während das Firewall-Log im dynamischen Modus angezeigt wird.

    -flo-


  • Rebel Alliance Moderator

    Ich würde an der Stelle auch lieber mit 2 normalen Regeln arbeiten, als mit Floating Rules. Da diese immer einen "Sonderstatus" einnehmen, baut man sich da leicht Problemchen, die nicht sein müssen. Bei einigen sehr komplexen Problemen können sie ganz hilfreich sein, aber ich würde hier lieber 2 normale einzelne Regeln machen, das ist dann auch für die Interfaces verständlicher. Zudem werden Floatings immer vor den eigentlichen Interface Regeln abgearbeitet, das kann dann an anderer Stelle zu ungewollten Nebeneffekten kommen.

    Grüße



  • OK!
    Danke sehr!

    Wenn ich allerdings bestimmte Ports für alle IF sperren möchte (z. B. Prot 138 …), wäre da nicht eine Floating Rule das einfachste?

    esquire1968


  • Rebel Alliance Moderator

    Sofern es nur ein Port für alle ist, mag das sein. Meistens läufts aber eher so ab, dass man dann auf dem LAN/DMZ/OPT Interface doch noch das ein oder andere mehr blockt, auf WAN ist eh alles verboten was nicht erlaubt ist und am Ende muss man es auf einem Interface wieder rausnehmen, weil es da doch jemand stört ;)

    Deshalb hab ich es so gemacht, dass ich für LAN und ggf. OPT/DMZ/sonstwas Interfaces bei Bedarf einfach eine Block Regel ganz oben in der Liste habe, die Pakete rejected und nicht loggt und ein Alias hat. Sowas wie P_unwantedLAN, P_unwantedOPT1. Damit kann man das dann später recht einfach ergänzen wenn man doch mal ein Interface abschwächen muss.

    Grüße



    1. Ich möchte die Apple Update Seite sperren, so dass kein Gerät ein Update erhält,

    Stelle aber bitte sicher, das die iGeräte dann nicht via Mobilfunk danach suchen, sonst ist das Volumen
    des Vertrages immer sehr schnell aufgebraucht, allerdings auch das des Internetanschlusses.



  • Klar! Es handelt sich primär um ein iPad2 ohne UMTS - ich möchte verhindern, dass eines meiner Kids hier ein Update auf 8.x durchführt - nach dem Motto "… toll da gibt es was Neues ..."

    LG
    esquire1968



  • Wenn ich mich nicht ganz täusche, kann man Aktualisierungen mittels Kindersicherung (Einstellungen -> Allgemein -> Einschränkungen) unterbinden. Kann man zur Not auch mal versuchen  :)


Log in to reply