bintec RS353jw - Hinweise zur Reduktion der Dienstelisten von Firewall (SIF), NAT-Konfiguration, QoS-Filter etc.

Aus bintec elmeg Support-Wiki / FAQ

Version vom 24. März 2017, 20:21 Uhr von Klaus Stavemann (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==bintec RS353jw - Hinweise zur Reduktion der Dienstelisten von Firewall (SIF), NAT-Konfiguration, QoS-Filter etc.== __NOTOC__ ===Vorbemerkungen:=== * Im Be…“)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

bintec RS353jw - Hinweise zur Reduktion der Dienstelisten von Firewall (SIF), NAT-Konfiguration, QoS-Filter etc.

Vorbemerkungen:

  • Im Beispiel wird ein bintec RS353jw mit Software-Version 10.1.21 Patch 1 verwendet, die Konfiguration erfolgt mittels GUI.
  • Andere bintec Router mit vergleichbaren Software-Versionen sind identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Hinweise zur Reduktion der Dienstelisten

  • Im GUI-Menü Firewall unter Dienste wird auf dem Tab DIENSTELISTE eine relativ lange Liste von mehr oder weniger gebräuchlichen Diensten angezeigt.
  • Im Beispiel wären das immerhin 82 defaultmäßig angezeigte Listenelemente.
  • Zur Vereinfachung und für eine bessere Übersichtlichkeit ist es hier möglich solche Dienste, die nicht wirklich benötigt würden, einzeln aus dieser Diensteliste zu entfernen (Mülleimer).
  • Grundlage für die angezeigte Diensteliste ist die MIB-Tabelle ipSifAliasServiceTable, die gleichzeitig auch Dienste-Auswahllisten in einigen anderen GUI-Menüs zu Grunde liegt.
  • Solche Dienste-Auswahllisten stehen beispielsweise in folgenden GUI-Menüs zur Verfügung:
    GUI-Menü Netzwerk unter NAT auf dem Tab NAT-Konfiguration, Neu/Edit, Dienst
    GUI-Menü Netzwerk unter Zugriffsregeln, auf dem Tab Zugriffsfilter, Neu/Edit, Dienst
    GUI-Menü Netzwerk unter QoS, auf dem Tab IPV4/IPV6-Filter, Neu/Edit, Dienst
    GUI-Menü Netzwerk unter Lastverteilung, auf dem Tab Special Session Handling, Neu/Edit, Dienst
    GUI-Menü Lokale Dienste unter WAKE-ON-LAN auf dem Tab WAKE-ON-LAN-Filter, Neu/Edit, Dienst

Beispiel für den Anfang der Firewall-Diensteliste mit ihren Defaulteinträgen:

GUI-Menü mit Firewall-Default-Diensteliste

Bild 1: GUI-Menü mit Firewall-Default-Diensteliste


Beispiel für den Anfang der Diensteliste in der NAT-Konfiguration mit ihren Defaulteinträgen:

GUI-Menü NAT-Konfiguration, Neu mit Default-Diensteliste

Bild 2: GUI-Menü NAT-Konfiguration, Neu mit Default-Diensteliste


Beispiel mit dem defaultmäßig in der ipSifAliasServiceTable vorhandenen Datensatz für den Dienst "activity":

rs353jw_ks:> ipsifaliasservicetable
inx Index(ro)         Alias(*rw)        Protocol(-rw)     Port(rw)
    Range(rw)         Type(ro)          Group(rw)         SourcePort(rw)
    SourceRange(rw)   IcmpType(rw)      IcmpCode(rw)
...
 65 660               "activity"        udp               2107
    1                 predefined        0                 0
    1                 0                 0
...
rs353jw_ks:ipSifAliasServiceTable>


  • Entfernt man nun in der Firewall-Diensteliste einen einzelnen Eintrag mit Klick auf das Mülleimersymbol, so wird der zugehörige Datensatz aus
    der besagten MIB-Tabelle ipSifAliasServiceTable entfernt und damit auch sofort aus allen anderen davon abgeleiteten Dienste-Auswahllisten.
  • Im vorliegenden Beispiel wurde in der Firewall-Diensteliste an der ersten Position der Eintrag mit der Beschreibung "activity" gelöscht.


Beispiel für den Anfang der Firewall-Diensteliste nach Entfernen des ersten Dienstes "activity":

GUI-Menü mit Firewall-Diensteliste ohne "activity"

Bild 3: GUI-Menü mit Firewall-Diensteliste ohne "activity"


Beispiel für den Anfang der Diensteliste in der NAT-Konfiguration nach Entfernen des ersten Dienstes "activity":

GUI-Menü NAT-Konfiguration, Neu mit Diensteliste ohne "activity"

Bild 4: GUI-Menü NAT-Konfiguration, Neu mit Diensteliste ohne "activity"

Achtung und Warnung:

  • Nach dem Löschen eines Eintrages aus der Firewall-Diensteliste kann der gelöschte Dienst durch manuelle Neueingabe nur noch für die Firewall wiederverfügbar gemacht werden,
    aber leider nicht mehr für alle anderen Dienstelisten aufgrund der damit verbundenen Typänderung des manuellen Neueintrages in der besagten MIB-Tabelle ipSifAliasServiceTable.
  • Durch einen Factory Reset könnte man den gelöschten Dienst wieder in allen Dienstelisten verfügbar machen, verliert dabei aber die aktuelle Konfiguration.
  • Eine bessere Alternative wäre natürlich das Importieren der vorher vor dem Löschen des Dienstes exportierten Konfigurationsdatei.
  • Mit aller gebotenen Vorsicht und Sachkenntnis ginge notfalls auch eine geeignete Manipulation der ipSifAliasServiceTable in einer frisch exportierten Konfigurationsdatei.

Abschlußbemerkung:

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis:

Erstellt: 24.3.2017
Produkt: RS353jw
Release: 10.1.21.101
KW: 14/2017
kst