Auswirkungen der Firewall Funktion "Vollständige IPv4-Filterung": Unterschied zwischen den Versionen
Aus bintec elmeg Support-Wiki / FAQ
(Die Seite wurde neu angelegt: „Beispielszenario:<br /> - Host A hat als Default-Gateway einen bintec-Router, z.B. einen RS353 oder eine be.IP plus<br /> - Host A möchte auf einen Server zug…“) |
|||
| Zeile 7: | Zeile 7: | ||
Mögliche Ursachen:<br /> | Mögliche Ursachen:<br /> | ||
- Wenn Ping funktioniert, so ist das Routing eigentlich in Ordnung. Somit sollte der bintec-Router eine passende Route (z.B. eine Netzwerkroute) zum Server haben. Dienste wie Email oder HTTP(S) verwenden TCP als Protokoll. Wenn am bintec-Router die Firewall aktiv ist, inkl. der Option "Vollständige IPv4-Filterung", so wird der bintec-Router TCP-Sessions nur dann durchlassen, wenn auch die Antwortpakete den bintec-Router passieren. Wenn die Rückrichtung der Pakete (vom Server in Richtung Host A) am bintec-Router 'vorbei' geroutet werden, so spricht man von 'Kreisrouting', die TCP-Session stockt.<br /> | - Wenn Ping funktioniert, so ist das Routing eigentlich in Ordnung. Somit sollte der bintec-Router eine passende Route (z.B. eine Netzwerkroute) zum Server haben. Dienste wie Email oder HTTP(S) verwenden TCP als Protokoll. Wenn am bintec-Router die Firewall aktiv ist, inkl. der Option "Vollständige IPv4-Filterung", so wird der bintec-Router TCP-Sessions nur dann durchlassen, wenn auch die Antwortpakete den bintec-Router passieren. Wenn die Rückrichtung der Pakete (vom Server in Richtung Host A) am bintec-Router 'vorbei' geroutet werden, so spricht man von 'Kreisrouting', die TCP-Session stockt.<br /> | ||
| + | |||
| + | [[Datei:Firewall-1.jpg|600 px]] | ||
| + | GUI > Firewall > Richtlinien > Optionen<br /><br /> | ||
| + | |||
| + | [[Datei:Firewall-2.jpg|600 px]] | ||
| + | Die dazugehörige Online-Hilfe<br /> | ||
| + | |||
- Alternativ ist es möglich und denkbar, dass ein weiteres beteiligtes Gerät die betroffenen TCP-Pakete blockt. Daher bitte die Firewall aller beteilgten Geräten überprüfen.<br /> | - Alternativ ist es möglich und denkbar, dass ein weiteres beteiligtes Gerät die betroffenen TCP-Pakete blockt. Daher bitte die Firewall aller beteilgten Geräten überprüfen.<br /> | ||
| − | |||
| − | |||
| − | |||
| − | |||
== Basis == | == Basis == | ||
Aktuelle Version vom 31. März 2017, 14:42 Uhr
Beispielszenario:
- Host A hat als Default-Gateway einen bintec-Router, z.B. einen RS353 oder eine be.IP plus
- Host A möchte auf einen Server zugreifen (z.B. Mail-Server oder Web-Server), dieser Server hat eine IP Adresse aus einem anderen Netzwerk als Host A
- Beispielwerte: Host A 192.168.1.100, bintec-Router 192.168.1.254, Server 192.168.5.1.
- Ping von Host A zum Server ist möglich, der Zugriff auf den benötigten Dienst (z.B. Mail oder Web) aber nicht.
Mögliche Ursachen:
- Wenn Ping funktioniert, so ist das Routing eigentlich in Ordnung. Somit sollte der bintec-Router eine passende Route (z.B. eine Netzwerkroute) zum Server haben. Dienste wie Email oder HTTP(S) verwenden TCP als Protokoll. Wenn am bintec-Router die Firewall aktiv ist, inkl. der Option "Vollständige IPv4-Filterung", so wird der bintec-Router TCP-Sessions nur dann durchlassen, wenn auch die Antwortpakete den bintec-Router passieren. Wenn die Rückrichtung der Pakete (vom Server in Richtung Host A) am bintec-Router 'vorbei' geroutet werden, so spricht man von 'Kreisrouting', die TCP-Session stockt.
GUI > Firewall > Richtlinien > Optionen
Die dazugehörige Online-Hilfe
- Alternativ ist es möglich und denkbar, dass ein weiteres beteiligtes Gerät die betroffenen TCP-Pakete blockt. Daher bitte die Firewall aller beteilgten Geräten überprüfen.
Basis
Stand: März 2017
Software-Basis: 10.1.x
Produktgruppe: RS-Serie, be.IP-serie
AB