Aufsetzen eines IP-Filters

• Sollen bestimmte IP-Pakete gefiltert werden, kann man das durch einen Eintrag in die IP Access List bewerkstelligt
  werden. Das geschieht unter Setup->IP->Access Lists. Generell muss man sich entscheiden, ob man bestimmte IP-Pakete erlauben will, damit aber alle nicht explizit erlaubten verbietet, oder man generell alles erlaubt und nur einige bestimmte Pakete verbietet. Der Aufbau eines Filters ist im wesentlichen charakterisiert durch eine Absender IP-Adresse (source), eine Zieladresse (destination) Angabe des benutzten Protokolls (TCP, UDP,...), des Absenderports (source port)
  und des Zielports (dest. port). Bekannte (well known) Ports sind z.B. 21 (FTP), 23 (Telnet), usw. Eine Portnummern
  tabelle befindet sich am Ende der FAQ als Link.

Beispielsweise betreibt man eine Brick und einen PC in einem IP-Netzwerk.
Der PC habe die IP-Adresse 194.45.204.21, die Brick die 194.45.204.53 und man will dem PC verbieten, dass er ein telnet (Port 23) auf die Brick absetzen kann, ansonsten soll jedoch alles erlaubt sein.
Dann waere es sinnvoll, einen deny-Eintrag in der Accessliste vorzunehmen. Vorher sollte man sich klar machen, dass das IP-Paket, welches auf der Brick eintrifft folgendermassen aufgebaut ist:

 

Source IP Address	194.45.204.21
Source Port	?, es wird ein freier Clientport verwendet
Source Mask	255.255.255.255
Destination IP Address	194.45.204.53
Destination Port	23
Destination Mask	255.255.255.255

 
Die Netzmasken besagen, ob der Filter einzelne Hosts (255.255.255.255) oder ganze Netze (beispielsweise 255.255.255.0) betrifft.

Der Eintrag in der Accessliste sieht dann entsprechend aus:

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][ADD]: Configure Access List Entry                           brick3
_______________________________________________________________________________
 
 
  Mode                        deny
 
  Protocol                    any
  Source Interface/Partner    en1
 
  Source Address              194.45.204.21
  Source Mask                 255.255.255.255
  Source Port                 any
 
 
  Destination Address         194.45.204.53
  Destination Mask            255.255.255.255
  Destination Port            specify
  Specify Port                23
 
                    SAVE                               CANCEL
_______________________________________________________________________________
Enter integer range 0..65535
 

Als zweites Beispiel soll dem ganzen Netz erlaubt werden, die Brick anpingen zu duerfen.
Dazu muss man wissen, dass der ping das icmp-Protokoll benutzt:

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][ADD]: Configure Access List Entry                           brick3
_______________________________________________________________________________
 
 
  Mode                        allow
 
  Protocol                    icmp
  Source Interface/Partner    en1
 
  Source Address              194.45.204.0
  Source Mask                 255.255.255.0
  Source Port                 any
 
 
  Destination Address         194.45.204.53
  Destination Mask            255.255.255.255
  Destination Port            any
 
 
                    SAVE                               CANCEL
_______________________________________________________________________________
Use <Space> to select

Accesslistenfilterung funktionert nur eingehend, d.h., wenn man verhindern will, dass ein ueber Ethernet angeschlossener Rechner ueber ISDN auf einen anderen Host zugreifen kann, muss man das entsprechende IP-Paket des Rechners bereits eingehend auf dem Ethernet filtern, daher ist bei beiden Filtern als Source Interface/Partner    en1 , also Ethernet angegeben.

Das Filtern von eingehenden ISDN-Verbindungen ist daher erst nach bereits erfolgtem Verbindungs aufbau moeglich!
 

 

Wichtige Links

FAQ-Indexseite

  Portnummern

 

If you have comments or suggestions, send email  at support@BinTec.DE