macht Kerio 2.1.5 Fehler ?

#1 habe folgende Regeln erstellt:
für DNS erlaubt:
"DNS" - "UDP" -"any port" -"custom addresses" -"prort 53" - "any application"
unter Miscellaneous für custom addresses folgendes eingetragen:
Address: 194.xxx.xxx.xxx Description: DNS

für "X" geblockt:
"X" -"UDP/TCP"-"any port"-"custom addresses"-"any port" - "any application"
unter Miscellaneous für custom addresses folgendes eingetragen:
Address: 60.xxx.xxx.xxx Description: X

wenn ich jetzt die DNS-Regel deaktiviere dann blockt die X-Regel die DNS-Abfrage (194.xxx.xxx.xxx) , obwohl die X-Regel eigentlich nur die 60.xxx.xxx.xxx blocken dürfte.Für die DNS-Anfrage müsste doch Permit/Deny Abfrage kommen weil keine Regel vorhanden...oder?

#2 Da wird einem schon beim Lesen (zur späten Stunde ) schwindlig.
Warum so kompliziert die Sache angehen?
"custom addresses" hat den Zweck die Anzahl deiner Regeln zu reduzieren.
Falls Du gleiche Erlaub-Regeln für unterschiedliche Zieladressen erstellen willst dann reicht eine Regel und die Zieladressen kommen zu "custom addresses"
In deinem Falle hast Du eine Regel für eine Adresse,also machen da "custom addresses" schon keinen Sinn.
Alle Verbindungen für die Du keine Erlaub-Regel hast werden von Kerio automatisch geblockt,also ist deine Block-Regel in diesem Fall auch sinnlos.

Gruß
Ajax

#3 [quote][b]Ajax postete[/b]
[i]Da wird einem schon beim Lesen (zur späten Stunde ) schwindlig.
Warum so kompliziert die Sache angehen?
"custom addresses" hat den Zweck die Anzahl deiner Regeln zu reduzieren.
Falls Du gleiche Erlaub-Regeln für unterschiedliche Zieladressen erstellen willst dann reicht eine Regel und die Zieladressen kommen zu "custom addresses"
In deinem Falle hast Du eine Regel für eine Adresse,also machen da "custom addresses" schon keinen Sinn.
Alle Verbindungen für die Du keine Erlaub-Regel hast werden von Kerio automatisch geblockt,also ist deine Block-Regel in diesem Fall auch sinnlos.

Gruß
Ajax[/i][/quote]

hab mir fast gedacht ,dass ich missverstanden werde

das ganze sollte nur als Beispiel dienen! selbstverständlich habe ich "custom addresses" mehrere IPs zusammengefasst.

wenn ich die "Rule" mit dem Namen "DNS"(custom addresses:193.xxx.xxx.xxx ,192.xxx.xxx.xxx ,191.xxx.xxx.xxx .....) deaktiviere ,dann müsste logischerweise eine Permit/Deny Anfrage von der Firewall kommen ,weil die Regel nicht "mehr" existiert...leider ist das aber nicht der fall.
stattdessen wird die DNS-Anfrage an den DNS-Server von der "Rule" mit dem Namen "X" (custom addresses: 62.xxx.xxx.xxx ,63.xxx.xxx.xxx , ......) blockiert ,obwohl die IPs(193.xxx.xxx.xxx ,192.xxx.xxx.xxx ,191.xxx.xxx.xxx .....) des DNS-Servers nicht in der Rule "X" vorkommen(geblockt sind).

vereinfacht gesagt ...wenn die Rule "X" die IP 63.xxx.xxx.xxx blocken soll ,warum wird dann auch die IP 123.xxx.xxx.xxx geblockt.

bitte versteht mich

#4 "custom adresses" ist grundsätzlich für die Vereinfachung von Erlaub- Regeln gedacht.
So wird es auch von der FW interpretiert.Die Erklärung dürfte folgende sein.
Da bereits eine Block-Regel existiert prüft die FW nur noch ob eine Ausnahmeregel für diese Block-Regel gibt.Da sie keine findet blockt sie anhand dieser Regel automatisch alle andere Addressen ohne weiter nachzufragen.
Ersellst Du deine Block-Regeln normal,ohne Einbezug auf "custom addresses" so sollte die FW im Lernmodus schon nachfragen.

#5

Zitat

Ajax postete
Die Erklärung dürfte folgende sein.Da bereits eine Block-Regel existiert prüft die FW nur noch ob eine Ausnahmeregel für diese Block-Regel gibt.Da sie keine findet blockt sie anhand dieser Regel automatisch alle andere Addressen ohne weiter nachzufragen.

vielen dank für deine mühe , aber damit ist das problem auch nicht geklärt .

in meinem fall ist die block-regel eine ausnahmeregel ,und die soll lediglich zwei bestimmte IPs für alle anwendungen blocken.obwohl die IPs des DNS-Servers nicht in dieser block-regel vorkommen(geblockt sind) ,werden diese von der regel geblockt.

wenn du lust hast , dann kannst du ja mal das ganze in der praxis nachvollziehen.den regelaufbau habe ich bereits oben gepostet.

gruss

#6 Deine Ausnahmeregel unter "custom addresses" wird von Kerio nicht so verstanden wie Du das möchtest.Durch diese Regel veranlasst Du Kerio nachzuschauen ob eine Adresse unter "custom addresses" freigegeben wird.Da er keine findet befolgt es deine Block-Regel.Mit der Beschränkung in der Block-Regel kann die FW so nichts anfangen.Erstellst Du aber die gleiche Regel ohne "custom addresses" wird dich die FW verstehen und bei andere Zieladressen nachfragen.
Abgesehen davon wie schon erwähnt wäre es sowieso unsinnig eine Block-Rule mit "custom addresses" zu erstellen da alles was nicht ausdrücklich erlaubt ist ohnehin geblockt oder nachgefragt wird.