Frage: Existiert beim Router Bintec R232 von FEC (Funkwerk Enterprise Communications) eine Grundkonfiguration der Stateful Inspection Firewall, die zwei lokale Netzwerke voneinander trennt und den Internetzugriff regelt?
***
Antwort: Ja, hier ein Beispiel für eine derartige Grundkonfiguration: Der Bintec R232 trennt
zwei Netzwerke, das eine, "192.168.1.0", darf ins Internet, das andere, "192.168.2.0", nicht. Die
beiden LANs dürfen nicht miteinander kommunizieren. Nur einer der Clients aus dem zweiten Netzwerk
("192.168.2.1") darf ins Internet und auf das andere Netz zugreifen. Ein Hinweis vorneweg: Alles,
was in den Filterregeln nicht explizit zugelassen ist, wird von der Firewall gesperrt. Deaktivieren
Sie daher die Firewall zu Beginn der Konfiguration.
Bei der Konfiguration der Firewall ist im Funkwerk Configuration Interface (FCI) zunächst ein
IP-Adressalias für den "Ausnahme-Client" anzulegen. Der Eintrag erfolgt im Menü "Firewall >
Adressen" in der Registerkarte Adressliste. Da für Internetverkehr viele verschiedene Dienste
verwendet werden, ist es sinnvoll, benötigte Dienste wie HTTP, HTTP SSL, FTP, POP3, SMTP oder DNS
im Menü "Firewall > Dienste" zu einer Gruppe zusammenzufassen. Als Nächstes legt der
Administrator die Filterregeln im Menü "Firewall > Richtlinien" an. Für das eine LAN wird der
Internetverkehr mit folgender FCI-Einstellung zugelassen:
"Ziel: WAN_DSL; Dienst: Internet, Aktion: Zugriff".
Wenn die Stateful Inspection Firewall (SIF) das erste Mal konfiguriert wird, generiert das
System automatisch eine Filterregel, die alle Dienste zu "Local" erlaubt. Diese Regel ist im
Zusammenhang mit dem administrativen Zugriff zu sehen. Damit der Client 192.168.2.1 ins Internet
darf und Zugriff auf das Netz am Interface "en1–0" hat, sind folgende Einstellungen notwendig:
"Quelle: 192.168.2.1, Ziel: WAN_DSL; Dienst: Internet, Aktion: Zugriff"
für den Internetverkehr sowie
"Quelle: 192.168.2.1, Ziel: LAN_EN1–0; Dienst: any, Aktion: Zugriff"
für den Zugriff auf das andere Netzwerk. Nachdem die Filterregeln angelegt wurden, muss der
Administrator die Konfiguration boot-fest speichern, bevor die Firewall aktiv geschaltet wird. Zur
Überprüfung der Funktionstüchtigkeit der vorgenommenen SIF-Einstellungen eignen sich die
Debug-Meldungen des Routers.
http://www.funkwerk-ec.com" target="true">Funkwerk Enterprise
Communications/pf