Protokoll-Filter

Mit dem Protokoll-Filter können Sie die Behandlung von bestimmten Datenpaketen bei der Übertragung aus dem WLAN ins LAN beeinflussen. Mit Hilfe von entsprechenden Regeln wird dabei festgelegt, welche Datenpakete erfasst werden sollen, für welche Interfaces der Filter gilt und welche Aktion mit den Datenpaketen ausgeführt werden soll.





LANconfig: Wireless LAN / Security / Protokolle

WEBconfig: LCOS-Menübaum / Setup / LAN-Bridge / Protokoll-Tabelle

Ein Protokoll-Filter besteht ähnlich einer Firewall-Regel aus zwei Teilen:

Ein Paketfilter wird durch die folgenden Parameter beschrieben:

Beispiel:

Name DHCP-Src-MAC Ziel-MAC-Adr. Prot. IP-Adresse IP-Netzwerk Untertyp Anfangs-Port End-Port Interface-Liste Aktion Umleite-IP-Adresse
ARP irrelevant 000000000000 0806 0.0.0.0 0.0.0.0 0 0 0 WLAN-1-2 Durchlassen 0.0.0.0
DHCP irrelevant 000000000000 0800 0.0.0.0 0.0.0.0 17 67 68 WLAN-1-2 Durchlassen 0.0.0.0
TELNET irrelevant 000000000000 0800 0.0.0.0 0.0.0.0 6 23 23 WLAN-1-2 Umleiten 192.168.11.5
ICMP irrelevant 000000000000 0800 0.0.0.0 0.0.0.0 1 0 0 WLAN-1-2 Durchlassen 0.0.0.0
HTTP irrelevant 000000000000 0800 0.0.0.0 0.0.0.0 6 80 80 WLAN-1-2 Umleiten 192.168.11.5

ARP, DHCP, ICMP werden durchgelassen, Telnet und HTTP werden umgleitet auf 192.168.11.5, alle anderen Pakete werden verworfen.

Solange für ein Interface keine Filter-Regeln definiert sind, werden alle Pakete von diesem Interface sowie alle Pakete für dieses Interface ohne Veränderung übertragen. Sobald für ein Interface eine Filter-Regel definiert wurde, werden alle Pakete, die über dieses Interface übertragen werden sollen, vor der Bearbeitung geprüft.

  1. Im ersten Schritt werden aus den Pakete die zur Prüfung benötigten Informationen ausgelesen:
    • DHCP-Source-MAC
    • Ziel-MAC-Adresse des Paketes
    • Protokoll, z. B. IPv4, IPX, ARP
    • Subprotokoll, z. B. TCP, UDP oder ICMP für IPv4-Pakete, ARP Request oder ARP Response für ARP-Pakete
    • IP-Adresse und Netzmaske (Quelle und Ziel) für IPv4-Pakete
    • Quell- und Ziel-Port für IPv4-TCP- oder IPv4-UDP-Pakete
  2. Diese Informationen werden im zweiten Schritt gegen die Angaben aus den Filter-Regeln geprüft. Dabei werden alle Regeln berücksichtigt, bei denen das Quell- oder das Ziel-Interface in der Interface-Liste enthalten sind. Die Prüfung der Regeln verhält sich für die einzelnen Werte wie folgt:
    • Für DHCP-Source-MAC, Protokoll und Unterprotokoll werden die aus den Paketen ausgelesenen Werte mit den Werten der Regel auf Übereinstimmung geprüft.
    • Bei IP-Adressen werden die Quell- und die Ziel-Adresse des Pakets daraufhin geprüft, ob sie in dem Bereich liegen, der durch die IP-Adresse und die Netzmaske der Regel gebildet wird.
    • Quell- und den Zielports werden daraufhin geprüft, ob sie im Bereich zwischen Anfangs- und End-Port liegen.
    Wenn keiner der spezifizierten (nicht durch Wildcards gefüllten) Werte der Regel mit den aus dem Paket ausgelesenen Werten übereinstimmt, wird die Regel als nicht zutreffend betrachtet und ausgelassen. Falls mehrere Regeln zutreffen, wird die Aktion der Regel ausgeführt, die am genauesten zutrifft. Dabei gelten die Parameter als genauer, je weiter unten Sie in der Liste der Parameter stehen bzw. je weiter rechts sie in der Protokoll-Tabelle auftauchen.
    Anmerkung: Wenn für ein Interface Regeln definiert sind, bei einem Paket von bzw. für dieses Interface jedoch keine Übereinstimmung mit einer der Regeln gefunden werden kann, dann wird für das Paket die Default-Regel für das Interface verwendet. Die Default-Regel ist für jedes Interface mit der Aktion 'verwerfen' vorkonfiguriert, aber nicht sichtbar in der Protokoll-Tabelle. Um die Default-Regel für ein Interface zu modifizieren, wird eine Regel mit dem Namen 'default-drop' angelegt, die neben den entsprechenden Interface-Bezeichnungen nur Wildcards und die gewünschte Aktion enthält.
    Die Prüfung der MAC-Adressen verhält sich bei Paketen, die über das entsprechende Interface verschickt werden, anders als bei eingehenden Paketen.
    • Bei den ausgehenden Paketen wird die aus dem Paket ausgelesene Quell-MAC-Adresse gegen die in der Regel eingetragene Ziel-MAC-Adresse geprüft.
    • Die aus dem Paket ausgelesene Ziel-MAC-Adresse wird daraufhin geprüft, ob sie in der Liste der aktuell aktiven DHCP-Clients enthalten sind.
    • Regeln mit der Aktion 'Umleiten' werden ignoriert, wenn sie für ein Interface zutreffen, auf dem das Paket verschickt werden soll.
  3. Im dritten Schritt wird die Aktion der zutreffenden Regel ausgeführt.

Mit der Aktion 'Umleiten' (Redirect) können IPv4-Pakete nicht nur übertragen oder verworfen werden, sondern gezielt zu einem bestimmten Ziel übermittelt werden. Dazu wird die Ziel-IP-Adresse des Pakets durch die in der Regel eingetragene Umleite-IP-Adresse ersetzt, die Ziel-MAC-Adresse des Pakets wird durch die per ARP ermittelte, zur Umleite-IP-Adresse gehörige MAC-Adresse ersetzt.

Damit die umgeleiteten Pakete auf dem „Rückweg“ auch wieder den richtigen Absender finden, werden in einer dynamischen Tabelle automatisch Filter-Regeln angelegt, die für die ausgehenden Pakete auf diesem Interface genutzt werden. Diese Tabelle kann unter Status > LAN-Bridge-Statistiken > Verbindungs-Tabelle eingesehen werden. Die Regeln in dieser Tabelle haben eine höhere Priorität als andere passende Regeln mit den Aktionen 'Übertragen' oder 'Verwerfen'.

Die Teilnehmer (Clients) in Funknetzwerken haben vor allem eine Eigenschaft oft gemeinsam: eine hohe Mobilität. Die Clients verbinden sich also nicht unbedingt immer mit dem gleichen AP, sondern wechseln den AP und das zugehörige LAN relativ häufig.

Die Redirect-Funktion hilft dabei, die Anwendungen von WLAN-Clients bei der Übertragung in das LAN automatisch immer auf den richtigen Zielrechner einzustellen. Wenn die Anfragen von WLAN-Clients über HTTP aus einem bestimmten logischen Funknetzwerk immer auf einen bestimmten Server im LAN umgeleitet werden sollen, wird für das entsprechende Protokoll ein Filtereintrag mit der Aktion 'Umleiten' für das gewünschte logische WLAN-Interface aufgestellt.





Alle Anfragen mit diesem Protokoll aus diesem logischen Funknetz werden dann automatisch umgeleitet auf den Zielserver im LAN. Bei der Rückübertragung der Datenpakete werden die entsprechenden Absenderadressen und Ports aufgrund der Einträge in der Verbindungsstatistik wieder eingesetzt, so dass ein störungsfreier Betrieb in beiden Richtungen möglich ist.

Mit dem DHCP-Adress-Tracking wird nachgehalten, welche Clients ihre IP-Adresse über DHCP erhalten haben. Die entsprechenden Informationen werden für ein Interface automatisch in einer Tabelle unter Status > LAN-Bridge-Statistiken > DHCP-Tabelle geführt. DHCP-Tracking wird auf einem Interface aktiviert, wenn für dieses Interface mindestens eine Regel definiert ist, bei denen 'DHCP-Source-MAC' auf 'Ja' steht.

Anmerkung: Die Anzahl der Clients, die über DHCP mit einem Interface verbunden sein dürfen, kann in der Port-Tabelle unter Setup > LAN-Bridge > Port-Daten eingestellt werden. Mit dem Eintrag von '0' können sich beliebig viele Clients an diesem Interface über DHCP anmelden. Würde die maximale Anzahl der DHCP-Clients bei einem weiteren Anmeldeversuch überschritten, so wird der älteste Eintrag aus der Liste entfernt.

Bei der Prüfung der Datenpakete werden die in der Regel definierten IP-Adresse und die IP-Netzmaske nicht verwendet. Es wird also nicht geprüft, ob die Ziel-IP-Adresse des Paketes im vorgegebenen Bereich liegt. Stattdessen wird geprüft, ob die Quell-IP-Adresse des Pakets mit derjenigen IP-Adresse übereinstimmt, die dem Client per DHCP zugewiesen wurde. Die Verbindung der beiden IP-Adressen findet anhand der Quell-MAC-Adresse statt.

Mit dieser Prüfung können Clients geblockt werden, die zwar eine IP-Adresse via DHCP empfangen haben, dann aber (versehentlich oder bewusst) tatsächlich eine andere IP-Adresse verwenden. Eine Regel mit dem Parameter DHCP-Source-MAC = 'Ja' würde also nicht zutreffen, da die beiden Adressen nicht übereinstimmen. Stattdessen würde eine andere Regel oder die Default-Regel das Paket verarbeiten.

Damit DHCP-Tracking funktionieren kann, müssen mindestens zwei weitere Regeln für dieses Interface konfiguriert werden, die nicht auf DHCP-Tracking beruhen. Das ist erforderlich, da die erforderliche DHCP-Information erst am Ende der DHCP-Verhandlung ausgetauscht wird. Daher müssen die vorher zu übertragenden Pakete über Regeln zugelassen werden, die kein DHCP-Tracking verwenden. Dazu gehören normalerweise Pakete über TCP / UDP auf Port 67 und 68 und ARP-Pakete.

Anmerkung: Ist DHCP-Tracking auf einem Interface aktiviert, so werden automatisch auf diesem Interface empfangene Pakete von DHCP-Servern verworfen.