Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dmz auf einem ESX-Server

Hallo Community,

ich möchte meinen ESX-Server in 3 verschiedene Netze teilen und das der Traffic zwischen den Netzwerken über die Sophos UTM9 Firewall geregelt wird.

Meine Fragen hierzu:
Welche Konfiguration muss ich an den beiden Firewall-Appliance vornehmen?

Ich füge ein Bild meiner ESX-Server Konfiguration ein.



This thread was automatically locked due to age.
Parents
  • Ich weiß leider nicht genau was du möchtest, ich habe das bei einem kleineren Projekt so ähnlich gemacht, daher schildere ich das mal eben, evtl. beantwortet das deine Frage.

    vSwitch0 (Extern/Internet) an die vmnic0 und eine VM (SophosUTM)
    vSwitch1 (DMZ) hier die SophosUTM-VM und eben die Webserver-VM's etc
    vSwitch2 (Intern) hier auch die SophosUTM-VM und die anderen VM's welche nicht in der DMZ sein sollen.

    In der UTM hat man ja dann 3 Netzwerkkarten (Extern / DMZ / Intern)
    Die externe Schnitstelle bekommt die externe IP und den default GW etc.
    Die Netze der DMZ und Intern kann du frei wählen. Habe bei mir die 192.168.20.0/24 für die Intern und 10.0.0.0/24 für DMZ. (Ggf. DNS und DHCP in der UTM konfigurieren)

    Wenn man nur eine externe IP hat, dann muss man eine Maskierung beider internen Netze auf die WAN-Schnitstelle machen und eben die Firewallregeln anpassen, damit man von der DMZ und Intern nach Extern kommt aber nicht rein oder intern nur in die dmz aber nicht anders rum. Das ist immer unterschiedlich, wie man das eben haben möchte.

  • Danke für die Antwort.

    Das ist so ungefähr das was ich umsetzen will. Ich hab bloß noch Probleme mit der Konfiguration.
    Welche Regeln muss ich einstellen wenn ich von Intern auf DMZ und Extern zugreifen will aber es von Extern / DMZ nicht möglich sein soll auf Intern zuzugreifen?
    In welches Netz soll ich das Management Network des ESX packen?
    In welches Netz (Extern/DMZ/Intern) soll ich die NIC packen?

    Mfg 

  • Also erstelle eine UTM, der gibst du 3 Netzwerkkarten. Im ESXI erstellst du 3 vSwitches. Jeweils eine UTM-Nic in ein Netzwerk.
    Einem vSwitch weist du die externe NIC zu.

     

    In der UTM erstellst du nun 3 Interfaces (Extern, Intern, DMZ). Jeweils mit der richtigen Netzwerkkarte. Das externe Interface bekommt auch die externe IP+DefaultGW.

    Dann machst du 2 Maskierungen - NAT -> Masquerading Regeln:

    • Intern (Network) -> Extern
    • DMZ (Network) -> Extern

    Dadurch haben alle Clients / Server die von Intern oder der DMZ sich in die Welt verbinden die IP vom externen Interface. Also auch wie zu Hause am "normalen" DSL Router, da surfen ja auch alle Geräte im (W)LAN unter der gleichen IP nach draußen.

     

    Zusätzlich erstellst du diese Firewall Regeln:

    • Intern (Network) -> Any -> Internet IPv4
    • Intern (Network) -> Any -> DMZ (Network)

    Hier kannst du ggf. noch das Any einschränken, jeh nach deinen Wünschen / Vorgaben. z.B. nur Web Surfing (80 und 443)

     

    Und das wars eigentlich auch schon, jetzt kommts drauf an welche Server in der DMZ stehen. Ich wähle nun mal ein SSL-Webserver auf 443 und ein SMTP Server auf 587.

    Den Webserver handelt man am besten mit der Webserver Protection, also ein Real-Webserver anlegen und ein VirtualWebserver mit dem interface (Extern (Address))

    Sofern kein Server Loadbalancing benötigt wird, kann man bei einem Port eine D-NAT Regel anlegen.
    Also Network Protection -> NAT -> NAT:
    Traffic From: ANY; Using Service: SMTP (587); Going To: Extern (Address); ACTION: Change the destination to: (Dein Server); (checked): Automatic firewall rule

     

    Was nun noch nicht eingerichtet ist sind so Sachen wie die DNS, DHCP, WebProtection, Intrusion Prevention, Advanced Threat Protection oder son krams.
    Hier ist aber die Hilfe die Sophos mitliefert ganz gut. Einfach den Punkt im Menü auswählen und dann oben auf das Fragezeichen klicken, dann öffnet diese sich an der passenden Stelle.

     

    Falls ichs etwas umständlich beschrieben habe, frag einfach nach.

    Grüße

     

    EDIT:
    In welches Netz soll ich das Management Network des ESX packen?
    Das würde ich ins Interne Packen und dem dann eine Interne IP geben. Wenn du dann von außen zugreifen möchtest, dann in der Sophos eine D-NAT Regel mit dem Port von Extern auf diese IP machen (s. Oben)

     

    Ups, ganz vergessen.
    Hast du 2 Netzwerkkarten, oder nur eine?

    Also wenn du 2 Stück hast, dann weise die Zweite, die mit deinem Internen Netz verbunden ist dem internen vSwtich zu.

    Bei nur einer Karte bin ich mir leider gerade nicht sicher

Reply
  • Also erstelle eine UTM, der gibst du 3 Netzwerkkarten. Im ESXI erstellst du 3 vSwitches. Jeweils eine UTM-Nic in ein Netzwerk.
    Einem vSwitch weist du die externe NIC zu.

     

    In der UTM erstellst du nun 3 Interfaces (Extern, Intern, DMZ). Jeweils mit der richtigen Netzwerkkarte. Das externe Interface bekommt auch die externe IP+DefaultGW.

    Dann machst du 2 Maskierungen - NAT -> Masquerading Regeln:

    • Intern (Network) -> Extern
    • DMZ (Network) -> Extern

    Dadurch haben alle Clients / Server die von Intern oder der DMZ sich in die Welt verbinden die IP vom externen Interface. Also auch wie zu Hause am "normalen" DSL Router, da surfen ja auch alle Geräte im (W)LAN unter der gleichen IP nach draußen.

     

    Zusätzlich erstellst du diese Firewall Regeln:

    • Intern (Network) -> Any -> Internet IPv4
    • Intern (Network) -> Any -> DMZ (Network)

    Hier kannst du ggf. noch das Any einschränken, jeh nach deinen Wünschen / Vorgaben. z.B. nur Web Surfing (80 und 443)

     

    Und das wars eigentlich auch schon, jetzt kommts drauf an welche Server in der DMZ stehen. Ich wähle nun mal ein SSL-Webserver auf 443 und ein SMTP Server auf 587.

    Den Webserver handelt man am besten mit der Webserver Protection, also ein Real-Webserver anlegen und ein VirtualWebserver mit dem interface (Extern (Address))

    Sofern kein Server Loadbalancing benötigt wird, kann man bei einem Port eine D-NAT Regel anlegen.
    Also Network Protection -> NAT -> NAT:
    Traffic From: ANY; Using Service: SMTP (587); Going To: Extern (Address); ACTION: Change the destination to: (Dein Server); (checked): Automatic firewall rule

     

    Was nun noch nicht eingerichtet ist sind so Sachen wie die DNS, DHCP, WebProtection, Intrusion Prevention, Advanced Threat Protection oder son krams.
    Hier ist aber die Hilfe die Sophos mitliefert ganz gut. Einfach den Punkt im Menü auswählen und dann oben auf das Fragezeichen klicken, dann öffnet diese sich an der passenden Stelle.

     

    Falls ichs etwas umständlich beschrieben habe, frag einfach nach.

    Grüße

     

    EDIT:
    In welches Netz soll ich das Management Network des ESX packen?
    Das würde ich ins Interne Packen und dem dann eine Interne IP geben. Wenn du dann von außen zugreifen möchtest, dann in der Sophos eine D-NAT Regel mit dem Port von Extern auf diese IP machen (s. Oben)

     

    Ups, ganz vergessen.
    Hast du 2 Netzwerkkarten, oder nur eine?

    Also wenn du 2 Stück hast, dann weise die Zweite, die mit deinem Internen Netz verbunden ist dem internen vSwtich zu.

    Bei nur einer Karte bin ich mir leider gerade nicht sicher

Children
No Data