Mit dem Protokoll-Filter können Sie die Behandlung von bestimmten Datenpaketen bei der Übertragung zwischen Interfaces, z. B. aus dem WLAN ins LAN beeinflussen. Mit Hilfe von entsprechenden Regeln wird dabei festgelegt, welche Datenpakete erfasst werden sollen, für welche Interfaces der Filter gilt und welche Aktion mit den Datenpaketen ausgeführt werden soll.
LANconfig:
Konsole:
Ein Protokoll-Filter besteht ähnlich einer Firewall-Regel aus zwei Teilen:
- Die Paket-Bedingung definiert die Bedingungen, die zutreffen müssen, damit der Filter auf ein Paket angewendet werden muss.
- Die Aktion definiert, was mit dem Paket geschehen soll, wenn die Bedingung zutrifft.
Ein Paketfilter wird durch die folgenden Parameter beschrieben:
- Name
- Frei wählbarer Name für den Filtereintrag.
- Protokoll
- Protokoll, für das dieser Filter gelten soll. Wird als Protokoll eine '0' eingetragen, so gilt dieser Filter für alle Pakete.
- Untertyp
- Unterprotokoll, für das dieser Filter gelten soll. Wird als Unterprotokoll eine '0' eingetragen, so gilt dieser Filter für alle Pakete des eingetragenen Protokolls.
- Anfangs-Port / End-Port
- Portbereich, für den dieser Filter gelten soll. Wird für den Anfangs-Port eine '0' eingetragen, so gilt dieser Filter für
alle Ports des entsprechenden Protokolls / Unterprotokolls. Wird für den End-Port eine '0' eingetragen,
gilt der Anfangs-Port auch als End-Port.
Anmerkung: Listen mit den offiziellen Protokoll- und Portnummern finden Sie im Internet unter www.iana.org.
- Entfernte MAC-Adresse
- Die MAC-Adresse des Clients, zu dem das Paket übertragen werden soll. Wird keine Ziel-MAC-Adresse eingetragen, so gilt dieser Filter für alle Pakete.
- Per DHCP zugewiesene IP
-
Wird diese Option auf Ja oder Nein gesetzt, dann wird das DHCP-Tracking
aktiviert. Dadurch wird geprüft, ob in der Tabelle die Quell-MAC-Adresse eines Paketes eingetragen ist, dessen Netzwerk-Teilnehmer eine IP-Adresse per DHCP bezogen
hat. Für eine Filterregel kann zusätzlich ein Netz spezifiziert werden. Wenn eine Regel allerdings diesen Parameter auf
Ja eingestellt hat, wird ein eventuell angegebenes Netz ignoriert.
Mögliche Werte:
- Ja: Die Regel trifft zu, wenn die Quell-MAC-Adresse des Pakets in der Tabelle unter als Adresse verzeichnet ist, die eine IP-Adresse per DHCP bezogen hat.
- Nein: Die Regel trifft zu, wenn dies nicht der Fall ist.
- Irrelevant: Die Quell-MAC-Adresse findet keine Beachtung.
Wichtig: Wenn das DHCP-Adress-Tracking aktiviert ist, werden die in der Regel evtl. eingetragenen IP-Adressen nicht beachtet. - Netzwerk-IP / Netzmaske
- Die IP-Adresse des Netzwerks, für das dieser Filter gilt. Nur IP-Pakete, deren Quell- und Ziel-IP-Adressen in diesem Netzwerk liegen, werden von der Regel erfasst. Wird kein Netzwerk eingetragen, so gilt dieser Filter für alle Pakete.
- Übereinstimmung
- Per Voreinstellung wird sowohl auf die Quell- als auch auf die Zieladresse geprüft. Hier können Sie festlegen, ob stattdessen nur auf die Quell- oder Zieladresse geprüft werden soll.
- Interface-Liste
- Liste der Schnittstellen, für die der Filter gilt. Als
Interfaces können alle LAN-Interfaces, DMZ-Interfaces, die logischen WLAN-Netze und die Point-to-Point-Strecken im WLAN
eingetragen werden.
Die Interfaces werden z. B. in der Form 'LAN-1' für das erste LAN-Interface oder 'WLAN-2-3' für das dritte logische
WLAN-Netz auf dem zweiten physikalischen WLAN-Interface oder 'P2P-1-2' für die zweite Point-to-Point-Strecke auf dem ersten
physikalischen WLAN-Interface angegeben.
Gruppen von Interfaces können in der Form 'WLAN-1-1~WLAN-1-6' (logische WLANs 1 bis 6 auf dem ersten physikalischen
WLAN-Interface) oder mit Wildcard als 'P2P-1-*' (alle P2P-Strecken auf dem ersten physikalischen Interface) angegeben
werden.
Wichtig: Nur Filter-Regeln mit gültigen Einträgen in der Interface-Liste sind aktiv. Eine Regel ohne Angabe der Interfaces gilt nicht für alle, sondern wird ignoriert.
- Aktion
- Aktion, die für Datenpakete ausgeführt wird, die mit dieser Regel erfasst werden.
- Umleitungs-IP-Adresse
- Ziel-IP-Adresse für die Aktion 'Umleiten' Bei
einem Redirect wird die Ziel-IP-Adresse der Pakete durch die hier eingetragene Umleitungs-IP-Adresse ersetzt. Zusätzlich wird
die Ziel-MAC-Adresse durch die MAC-Adresse ersetzt, die über ARP für die Umleite-IP-Adresse ermittelt wurde.
Wichtig: Wenn die Ziel-MAC-Adresse nicht über ARP ermittelt werden konnte, wird das Paket nicht umgeleitet, sondern verworfen.
Beispiel:
| Name | DHCP-Src-MAC | Ziel-MAC-Adr. | Prot. | IP-Adresse | IP-Netzwerk | Untertyp | Anfangs-Port | End-Port | Interface-Liste | Aktion | Umleitungs-IP-Adresse |
|---|---|---|---|---|---|---|---|---|---|---|---|
| ARP | irrelevant | 000000000000 | 0806 | 0.0.0.0 | 0.0.0.0 | 0 | 0 | 0 | WLAN-1-2 | Durchlassen | 0.0.0.0 |
| DHCP | irrelevant | 000000000000 | 0800 | 0.0.0.0 | 0.0.0.0 | 17 | 67 | 68 | WLAN-1-2 | Durchlassen | 0.0.0.0 |
| TELNET | irrelevant | 000000000000 | 0800 | 0.0.0.0 | 0.0.0.0 | 6 | 23 | 23 | WLAN-1-2 | Umleiten | 192.168.11.5 |
| ICMP | irrelevant | 000000000000 | 0800 | 0.0.0.0 | 0.0.0.0 | 1 | 0 | 0 | WLAN-1-2 | Durchlassen | 0.0.0.0 |
| HTTP | irrelevant | 000000000000 | 0800 | 0.0.0.0 | 0.0.0.0 | 6 | 80 | 80 | WLAN-1-2 | Umleiten | 192.168.11.5 |
ARP, DHCP, ICMP werden durchgelassen, Telnet und HTTP werden umgleitet auf 192.168.11.5, alle anderen Pakete werden verworfen.
Solange für ein Interface keine Filter-Regeln definiert sind, werden alle Pakete von diesem Interface sowie alle Pakete für dieses Interface ohne Veränderung übertragen. Sobald für ein Interface eine Filter-Regel definiert wurde, werden alle Pakete, die über dieses Interface übertragen werden sollen, vor der Bearbeitung geprüft.
- Im ersten Schritt werden aus den Paketen die zur Prüfung benötigten Informationen ausgelesen:
- DHCP-Source-MAC
- Ziel-MAC-Adresse des Paketes
- Protokoll, z. B. IPv4, ARP
- Subprotokoll, z. B. TCP, UDP oder ICMP für IPv4-Pakete, ARP Request oder ARP Response für ARP-Pakete
- IP-Adresse und Netzmaske (Quelle und Ziel) für IPv4-Pakete
- Quell- und Ziel-Port für IPv4-TCP- oder IPv4-UDP-Pakete
- Diese Informationen werden im zweiten Schritt gegen die Angaben aus den Filter-Regeln geprüft. Dabei werden alle Regeln
berücksichtigt, bei denen das Quell- oder das Ziel-Interface in der Interface-Liste enthalten sind. Die Prüfung der Regeln
verhält sich für die einzelnen Werte wie folgt:
- Für DHCP-Source-MAC, Protokoll und Unterprotokoll werden die aus den Paketen ausgelesenen Werte mit den Werten der Regel auf Übereinstimmung geprüft.
- Bei IP-Adressen werden die Quell- und die Ziel-Adresse des Pakets daraufhin geprüft, ob sie in dem Bereich liegen, der durch die IP-Adresse und die Netzmaske der Regel gebildet wird.
- Quell- und den Zielports werden daraufhin geprüft, ob sie im Bereich zwischen Anfangs- und End-Port liegen.
Wichtig: Wenn für ein Interface Regeln definiert sind, bei einem Paket von bzw. für dieses Interface jedoch keine Übereinstimmung mit einer der Regeln gefunden werden kann, dann wird für das Paket die Default-Regel für das Interface verwendet. Die Default-Regel ist für jedes Interface mit der Aktion 'verwerfen' vorkonfiguriert, aber nicht sichtbar in der Protokoll-Tabelle. Um die Default-Regel für ein Interface zu modifizieren, wird eine Regel mit dem Namen 'default-drop' angelegt, die neben den entsprechenden Interface-Bezeichnungen nur Wildcards und die gewünschte Aktion enthält.Die Prüfung der MAC-Adressen verhält sich bei Paketen, die über das entsprechende Interface verschickt werden, anders als bei eingehenden Paketen.- Bei den ausgehenden Paketen wird die aus dem Paket ausgelesene Quell-MAC-Adresse gegen die in der Regel eingetragene Ziel-MAC-Adresse geprüft.
- Die aus dem Paket ausgelesene Ziel-MAC-Adresse wird daraufhin geprüft, ob sie in der Liste der aktuell aktiven DHCP-Clients enthalten sind.
- Regeln mit der Aktion 'Umleiten' werden ignoriert, wenn sie für ein Interface zutreffen, auf dem das Paket verschickt werden soll.
- Im dritten Schritt wird die Aktion der zutreffenden Regel ausgeführt.
Mit der Aktion 'Umleiten' (Redirect) können IPv4-Pakete nicht nur übertragen oder verworfen werden, sondern gezielt zu einem bestimmten Ziel übermittelt werden. Dazu wird die Ziel-IP-Adresse des Pakets durch die in der Regel eingetragene Umleitungs-IP-Adresse ersetzt, die Ziel-MAC-Adresse des Pakets wird durch die per ARP ermittelte, zur Umleitungs-IP-Adresse gehörige MAC-Adresse ersetzt.
Damit die umgeleiteten Pakete auf dem "Rückweg" auch wieder den richtigen Absender finden, werden in einer dynamischen Tabelle automatisch Filter-Regeln angelegt, die für die ausgehenden Pakete auf diesem Interface genutzt werden. Diese Tabelle kann unter Status > LAN-Bridge-Statistiken > Verbindungs-Tabelle eingesehen werden. Die Regeln in dieser Tabelle haben eine höhere Priorität als andere passende Regeln mit den Aktionen 'Übertragen' oder 'Verwerfen'.
Die Teilnehmer (Clients) in Funknetzwerken haben vor allem eine Eigenschaft oft gemeinsam: eine hohe Mobilität. Die Clients verbinden sich also nicht unbedingt immer mit dem gleichen AP, sondern wechseln den AP und das zugehörige LAN relativ häufig.
Die Redirect-Funktion hilft dabei, die Anwendungen von WLAN-Clients bei der Übertragung in das LAN automatisch immer auf den richtigen Zielrechner einzustellen. Wenn die Anfragen von WLAN-Clients über HTTP aus einem bestimmten logischen Funknetzwerk immer auf einen bestimmten Server im LAN umgeleitet werden sollen, wird für das entsprechende Protokoll ein Filtereintrag mit der Aktion 'Umleiten' für das gewünschte logische WLAN-Interface aufgestellt.
Alle Anfragen mit diesem Protokoll aus diesem logischen Funknetz werden dann automatisch umgeleitet auf den Zielserver im LAN. Bei der Rückübertragung der Datenpakete werden die entsprechenden Absenderadressen und Ports aufgrund der Einträge in der Verbindungsstatistik wieder eingesetzt, so dass ein störungsfreier Betrieb in beiden Richtungen möglich ist.
Mit dem DHCP-Adress-Tracking wird nachgehalten, welche Clients ihre IP-Adresse über DHCP erhalten haben. Die entsprechenden Informationen werden für ein Interface automatisch in einer Tabelle unter Status > LAN-Bridge-Statistiken > DHCP-Tabelle geführt. DHCP-Tracking wird auf einem Interface aktiviert, wenn für dieses Interface mindestens eine Regel definiert ist, bei denen 'DHCP-Source-MAC' auf 'Ja' steht.
Bei der Prüfung der Datenpakete werden die in der Regel definierten IP-Adresse und die IP-Netzmaske nicht verwendet. Es wird also nicht geprüft, ob die Ziel-IP-Adresse des Paketes im vorgegebenen Bereich liegt. Stattdessen wird geprüft, ob die Quell-IP-Adresse des Pakets mit derjenigen IP-Adresse übereinstimmt, die dem Client per DHCP zugewiesen wurde. Die Verbindung der beiden IP-Adressen findet anhand der Quell-MAC-Adresse statt.
Mit dieser Prüfung können Clients geblockt werden, die zwar eine IP-Adresse via DHCP empfangen haben, dann aber (versehentlich oder bewusst) tatsächlich eine andere IP-Adresse verwenden. Eine Regel mit dem Parameter DHCP-Source-MAC = 'Ja' würde also nicht zutreffen, da die beiden Adressen nicht übereinstimmen. Stattdessen würde eine andere Regel oder die Default-Regel das Paket verarbeiten.
Damit DHCP-Tracking funktionieren kann, müssen mindestens zwei weitere Regeln für dieses Interface konfiguriert werden, die nicht auf DHCP-Tracking beruhen. Das ist erforderlich, da die erforderliche DHCP-Information erst am Ende der DHCP-Verhandlung ausgetauscht wird. Daher müssen die vorher zu übertragenden Pakete über Regeln zugelassen werden, die kein DHCP-Tracking verwenden. Dazu gehören normalerweise Pakete über TCP / UDP auf Port 67 und 68 und ARP-Pakete.
