IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 20.08.2017, 03:58

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 12.01.2017, 07:02 
Offline
Rookie
Themenstarter
Rookie

Registriert: 12.01.2017
Beiträge: 5
Hallo,

ich habe für ein weiteres Projekt wieder zu IPCop gegriffen und bin aktuell leider mit einem für mich nicht lösbaren Problem konfrontiert.

Konfigurierte Interfaces

ROT - 192.168.2.x / 24 - geschlossen IP-Cop 192.168.2.5
BLAU - 192.168.1.x / 24 - halb offen IP-Cop 192.168.1.5
GRÜN - 192.168.12.x / 22 - geschlossen IP-Cop 192.168.12.1

Ergänzung:
192.168.12.100 - 192.168.12.119 sollen dauerhaft Internetzugriff haben
192.168.12.120 - 192.168.12.1xx über Adressen und Adressgruppe nur bei Bedarf aktiviert werden können.

Mein bisheriges Verständnis sagt mit, dass ich bei den o.g. Setting für jeden Zugriff aus GRÜN heraus eine entsprechende Regel benötige.
Wenn dem so ist kann ich mir nicht erklären, warum ein einfacher Client aus GRÜN Zugriff ins Internet bekommt.

Ergebnis soll sein. Sämtliche Server sollen dauerhaft Verbindung ins Internet haben, Clients wiederum nur durch Aktivierung in der entsprechenden Adressgruppe.

Gruß,
Jens


Zuletzt geändert von chefkoch_ am 12.01.2017, 14:50, insgesamt 2-mal geändert.

Nach oben
   
BeitragVerfasst: 12.01.2017, 12:39 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1018
Wohnort: an der Oder
Wie hast du Grün als geschlossen konfiguriert? Normalerweise ist Grün offen.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 12.01.2017, 13:32 
Offline
Rookie
Themenstarter
Rookie

Registriert: 12.01.2017
Beiträge: 5
Ja normal ist der OFFEN.

Ich habe halt einfach die Schnittstellenrichtlinie geändert über die GUI.
Ohne weitere Regeln funktioniert das auch.

Jetzt habe ich mir eine Adressgruppe mit 5 Servern/Clients gebaut, welche Zugriff Internet (ROT) haben dürfen.
Davon ist aktuell nur einer (WSUS) als aktiv gesetzt.
Lustigerweise kann nun auch ein Client der nicht zu den 5 gehört ins Internet.

Grüße


Nach oben
   
BeitragVerfasst: 12.01.2017, 14:41 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1018
Wohnort: an der Oder
Ich habe eine Idee, wie du das eventuell eingerichtet hast. Aber von Ferne sehe ich nicht was du genau gemacht hast, außerdem ist meine Glaskugel leider sehr beschlagen.
Gib uns mehr Input, wenn du Hilfe benötigst.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 12.01.2017, 14:49 
Offline
Rookie
Themenstarter
Rookie

Registriert: 12.01.2017
Beiträge: 5
Das ist es ja. So viel ist es aktuell nicht.

Adressgruppe Server mit 5 Adressen
192.168.12.103, 104, 105, 106, 108
Davon ist aktuell nur die 106 (WSUS) aktiviert.

192.168.12.108 ist AD, DNS und DHCP
DNS leitet alles was er selbst nicht auflösen kann an 192.168.12.1
IP-Cop steht als Exposed Host hinter einem Router mit Rotem Interface (s.o.)
Sämtliche Geräte in 192.168.12.x haben Default-GW 192.168.12.1 und DNS 192.168.12.108

Adressgruppe Clients mit 1 Adresse
192.168.12.121 (festes Lease am DHCP)

weiterer Client ohne jegliche Regel 192.168.12.127 (festes Lease am DHCP)

Client 192.168.12.127 kommt ins Internet ohne das ich es mir erklären kann.


Nach oben
   
BeitragVerfasst: 12.01.2017, 15:17 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 777
Hallo,
was sagen denn die Firewallregeln dazu ?

z.B. iptables -L ....


auch ist
Zitat:
GRÜN - 192.168.12.x / 22 - geschlossen IP-Cop 192.168.12.1
keine Angabe (was ist x ??), die mit

Zitat:
Adressgruppe Clients mit 1 Adresse
192.168.12.121 (festes Lease am DHCP)

weiterer Client ohne jegliche Regel 192.168.12.127 (festes Lease am DHCP)

in Verbindung zu bringen wäre...

Fred


Nach oben
   
BeitragVerfasst: 12.01.2017, 15:35 
Offline
Rookie
Themenstarter
Rookie

Registriert: 12.01.2017
Beiträge: 5
Entschuldige korrekt wäre 192.168.12.0 / 22
Das ist das komplette Netz welches am Grünen Interface des IP-Cops hängt.
Dabei hat der IP-Cop die 192.168.12.1
Durch GRÜN - geschlossen wollte ich mittels Gruppen dann den Zugriff separat regeln.

Auszug iptables -L poste ich morgen, wenn ich die Umgebung wieder vor mir habe (@work)


Nach oben
   
BeitragVerfasst: 12.01.2017, 16:04 
Offline
Chief Inspector
Chief Inspector
Benutzeravatar

Registriert: 23.05.2008
Beiträge: 112
Wohnort: Bönen
Wie hast du denn den Client .106 (WSUS) angelegt?`Also unter Adressen im Firewall Menü meine ich.
Nicht dass du als Netzwerkmaste 255.255.255.0 bzw. 255.255.252.0 angegeben hast.
Wenn du einen Einzigen Host haben willst, muss die Subnetzmaske entweder leer bleiben, oder du gibst 255.255.255.255 ein.

_________________
Bild Bild


Nach oben
   
BeitragVerfasst: 13.01.2017, 09:58 
Offline
Rookie
Themenstarter
Rookie

Registriert: 12.01.2017
Beiträge: 5
Das Problem war wie exodar schon vermutet hat so simpel wie tragisch.
Wie Blind muss man denn sein, dass einem das in beiliegenden Bild nicht auffällt. (iptables sah auch entsprechend aus)
Und ich hab die Welt nicht verstanden warum es im 1er Subnetz funktioniert.

Vielen Dank.

Bild


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de