{"id":2187,"date":"2010-02-05T22:19:00","date_gmt":"2010-02-05T21:19:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/vorsicht-bei-deny-firewall-rules-auf-der-x-edge\/"},"modified":"2016-08-23T15:58:01","modified_gmt":"2016-08-23T13:58:01","slug":"vorsicht-bei-deny-firewall-rules-auf-der-x-edge","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/02\/vorsicht-bei-deny-firewall-rules-auf-der-x-edge\/","title":{"rendered":"Vorsicht bei &#8220;Deny&#8221; Firewall Rules auf der X Edge!"},"content":{"rendered":"<p>Durch die Migration einer Firebox X Edge von der Version 10 auf die neue Fireware XTM v11.x \u00e4ndert sich unter anderem auch die <strong>Reihenfolge, in der die Firewallregeln ausgef\u00fchrt werden<\/strong>. Unter Version 10 war es kein Problem, bei <em>Firewall > Outgoing<\/em> die nicht ben\u00f6tigten Services auf &#8220;Deny&#8221; (roter Hintergrund) zu setzen, solange z.B. die &#8220;Outgoing&#8221;-Regel selbst auf &#8220;Allow&#8221; (gr\u00fcner Hintergrund) stand.<\/p>\n<p>Bei Fireware XTM v11.x ist es anders. Dies zeigt dieser Supportfall: Kunde f\u00fchrt ein Update einer X Edge mit 10-er Software auf Fireware XTM v11.x durch. Das Update l\u00e4uft erfolgreich durch. Anschlie\u00dfend ist pl\u00f6tzlich kein HTTP-Zugriff mehr auf das Internet m\u00f6glich. Beim Versuch, auf das Webinterface der X Edge (neu, Port 8080) zuzugreifen, erscheint die Meldung, dass hierf\u00fcr zun\u00e4chst der Adobe Flash Player heruntergeladen und installiert werden m\u00fcsse. Dumm gelaufen, HTTP funktioniert ja gerade eben nicht&#8230; Gut, wenn noch ein weiterer PC lokal vorhanden ist, auf dem schon Flash installiert ist und man von diesem PC aus auf das Webinterface der X Edge zugreifen kann &#8211; oder wenn vor der Migration eine Remote Access Regel f\u00fcr Port 8080 (<em>Firewall > Incoming<\/em>) angelegt wurde, die einem externen Supporter Zugang zu dem Ger\u00e4t erm\u00f6glicht&#8230; \ud83d\ude09 Dieser konnte so die &#8220;Deny&#8221;-Regel f\u00fcr HTTP aus dem Regelwerk l\u00f6schen, die nun &#8220;weiter oben&#8221; sa\u00df und dadurch den kompletten HTTP-Verkehr verhinderte.<\/p>\n<p>Meine Empfehlung: Pr\u00fcfen Sie vor der Migration einer X Edge von Version 10 auf Fireware XTM v11.x, ob es Firewallregeln gibt, die auf &#8220;Deny&#8221; stehen (roter Hintergrund). Wenn es hierf\u00fcr keinen dringenden Grund gibt, sollten Sie diese Regeln auf &#8220;No Rule&#8221; setzen (grauer Hintergrund). Nach der Migration wird das Regelwerk wesentlich anschaulicher dargestellt und Sonderregelungen k\u00f6nnen hier viel einfacher eingebaut werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Durch die Migration einer Firebox X Edge von der Version 10 auf die neue Fireware XTM v11.x \u00e4ndert sich unter anderem auch die Reihenfolge, in der die Firewallregeln ausgef\u00fchrt werden. Unter Version 10 war es kein Problem, bei Firewall > Outgoing die nicht ben\u00f6tigten Services auf &#8220;Deny&#8221; (roter Hintergrund) zu setzen, solange z.B. die &#8220;Outgoing&#8221;-Regel selbst auf &#8220;Allow&#8221; (gr\u00fcner Hintergrund) stand. Bei Fireware XTM v11.x &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/02\/vorsicht-bei-deny-firewall-rules-auf-der-x-edge\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">Vorsicht bei &#8220;Deny&#8221; Firewall Rules auf der X Edge!<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[299,282,283,137,327,328],"class_list":["post-2187","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-fernwartung","tag-fireware-11","tag-fireware-xtm","tag-update","tag-webinterface","tag-webui"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2187"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2187"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2187\/revisions"}],"predecessor-version":[{"id":2412,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2187\/revisions\/2412"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}