Konfiguration einer ACCESS-Liste ab Version 4.8.1
 

Das Beispiel beschreibt wie Netbios Pakete unterbunden werden koennen.
 

Um überhaupt zu erkennen, was gefiltert werden muß, kann man das Shell-Kommado
"debug –t all" auf der BRICK verwenden. Mit dem Kommando kann man sehr schnell
erkennen, was zu einem Verbindungsaufbau führt.
 

Die Konfiguration der ACCESS-Lsiten, wird mit dem Setup-Tool erklärt.
Bei den ACCESS-Listen ist es möglich, bis auf Portebene das IP Paket zu filtern!
Die Portnummeren sind unter FAQ:" Category: BRICK/IP IP Subnetting" zu finden.
 

Setup --> IP --> Access Lists
 

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][FILTER][EDIT]: Configure IP Access Filter                 brick
_______________________________________________________________________________
 

  Description                 netbios-filter
  Index                          1

  Protocol                       udp

  Source Address
  Source Mask
  Source Port                  any
 

  Destination Address         199.199.199.255
  Destination Mask              255.255.255.255
  Destination Port                specify range
  Specify Port                137       to Port   138

                    SAVE                               CANCEL
_______________________________________________________________________________
Enter string, max length = 48 chars

WICHTIG!! Vor dem Abspeichern der ACCESS Listen muß noch ein ALLOW-ANY Filter eingetragen werden. Es besteht sonnst die Möglichkeit, seinen eigenen momentanen
Zugang (z.B. telnet) zu sperren!
Falls kein explizierter ALLOW ANY Filter folgt, wird ein DENY ANY Filter automatisch am Ende der ACCESS Liste eingefügt. Somit kann man die Logik der ACCESS Liste beeinflussen, prinzipiell ist bei den BRICK's alles freigeschaltet.
--> ADD

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][FILTER][EDIT]: Configure IP Access Filter                 brick
_______________________________________________________________________________
 

  Description                 allow-any
  Index                       2

  Protocol                    any

  Source Address
  Source Mask
  Source Port                 any
 

  Destination Address
  Destination Mask
  Destination Port            any
 

                    SAVE                               CANCEL
_______________________________________________________________________________
Enter string, max length = 48 chars

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][FILTER]: Configure IP Access Filter                       brick
_______________________________________________________________________________

  Abbreviations: sa (source IP address)         sp (source port)
                 da (destination IP address)    dp (destination port)

  Index Descr           Conditions
  1     netbios-filter  da 199.199.199.255/32, dp 137-138
  2     allow-any

    ADD                 DELETE              EXIT

______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Space> tag/untag DELETE, <Return> to edit
 

Der nächste Schritt ist, die Filter nun durch Regeln verkettet. Innerhalb der Regeln werden nun Aktionen definiert, wie der Filter behandelt werden soll.
Es gibt insgesamt fünf mögliche Aktionen:
 
 O allow     M ?   erlaube wenn Filter machted
 O allow    !M ?  erlaube wenn Filter nicht mached
 O deny      M ?     verbiete wenn Filter machted
 O deny     !M ?    verbiete wenn filter nicht machted
 O ignore    ?     ignoriere die Aktion
 

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][RULE]: Configure IP Access Rules                          brick
_______________________________________________________________________________

  Abbreviations:  RI  (Rule Index)      M  (Action if filter matches)
                  FI  (Filter Index)    !M (Action if filter does not match)
                  NRI (Next Rule Index)

  RI   FI   NRI  Action   Filter      Conditions
  1    1    2    deny   M netbios-fi  udp, da 199.199.199.255/32, dp 137-138
  2    2    0    allow  M allow-any
 
 
 
 
 
 

     ADD             DELETE         REORG        EXIT
 

_______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Space> tag/untag DELETE, <Return> to edit
 
 
 
 
 

BIANCA/BRICK-XM Setup Tool                           BinTec Communications GmbH
[IP][ACCESS][INTERFACES]: Configure First Rules                       brick
_______________________________________________________________________________

  Configure first rules for interfaces

  Interface       First Rule             First Filter
 
  dialup6         0      (no access rules)
  en1              1                      1   (netbios-filter)
  en1-snap     0      (no access rules)
 

  EXIT
______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Return> to edit/select

Zu Beachten wäre noch, daß die erste Regel auf alle Interface zutrifft. In unseren
konkreten Beispiel, soll verhindert werden, daß Netbios Pakete zu einem Verbindungsaufbau
führen. Aus diesen Grund,  muß die Accessliste auf das LAN Interface "en1" gelegt werden.

Viel Erfolg!!!

Ihr BinTec-Support Team