Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 28 subscribers
  • Views 10622 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG230 Firewall ignoriert Einstellungen

michael hens

Hallo an die gesamte Forum Gemeinde

 

Wir sind seit wenigen Tagen im Besitz einer SOPHOS SG230 und ich vollkommener Neuling bzgl. SOPHOS und UTM.
Auf der Suche nach Lösungen habe ich bereits einige Beiträge hier im Forum gelesen und hoffe nun für mich verständliche Antworten zu finden.

Zu meinem Problem
Wir betreiben die SG230 hinter einem LANCOM Router welcher die DSL Verbindung zum Provider aufrecht erhält.
An der SOPHOS habe ich eth0 mit IP 192.168.1.253 über einen Switch ans interne LAN verbunden und diese als Gateway an den Hosts hinterlegt.
eth1 geht mit IP 10.10.10.11 direkt auf den Router. Hier habe ich zusätzlich als Standard Gateway den Router selbst mit 10.10.10.10 hinterlegt.

Halte ich eine der beiden Schnittstellen an, so ist ein Internetzugriff nicht mehr möglich.
Verwende ich aber eine Regel innerhalb der Firewall, so ist dies der SOPHOS komplett egal.
Egal welche Konfiguration ich in der Firewall vornehmen, sie spielt keine Rolle.

Es ist vielleicht eine blöde Frage,
aber was muss ich außer den beiden Schnittstellen noch konfigurieren, damit der Datenverkehr innerhalb der SOPHOS über die interne Firewall und deren Regeln läuft?

 

Vielen Dank für eure Antworten bereits im Voraus!

 

MfG

Michael

 



This thread was automatically locked due to age.
Parents
  • 0

    Verwendest Du Webprotection, also einen Proxy?

    Dein internes Netz ist also 192.168.1.x und als Gateway ist 192.168.1.253 eingetragen. Mit anhalten meinst Du Du deaktivierst die Schnittstelle und kommst dann trotzdem in's Internet, sofern eine Firewall-Regel aktiv ist?

     

    Alex

Reply
  • 0

    Verwendest Du Webprotection, also einen Proxy?

    Dein internes Netz ist also 192.168.1.x und als Gateway ist 192.168.1.253 eingetragen. Mit anhalten meinst Du Du deaktivierst die Schnittstelle und kommst dann trotzdem in's Internet, sofern eine Firewall-Regel aktiv ist?

     

    Alex

Children
  • 0 in reply to Alexander Busch

    Hi Alex,

     

    ja, wir verwenden Webprotection auf der SG230.
    Die IP Zuordnungen sind wie von Dir nachgefragt.
    Ich deaktiviere eine der Schnittstellen eth0 oder eth1 an der SOPHOS und es ist KEIN Internetzugriff mehr möglich.
    Somit bin ich mir ja schon mal sicher, das der Traffic über die beiden Schnittstellen der SOPHOS geleitet wird.
    Nun habe ich z.B. eine Netzwerkgruppe angelegt, welche die PC's (Hosts) beinhaltet, welche "Web Surfing" als Dienst an ANY Ziel nutzen dürfen.
    Was mich hier verwundert ist die Tatsache das es vollkommen egal ist, ob ich diese Regel aktiviere oder deaktiviere. Die Hosts kommen immer in Internet.
    Genauso wenn ich z.B. meinen lokalen PC aus der Gruppe entferne. Dennoch kann ich im Internet surfen.

    Ich hatte es bisher so verstanden, das die SOPHOS im Standard erst einmal alles verbietet und man dann Berechtigungen vergibt.
    Ist dem nicht so?

     

    Was muss ich einstellen damit der Traffic innerhalb der SOPHJOS von eth0 zu eth1 über die Firewall läuft und deren Regeln greifen?

     

     

    Vielen Dank für Deine schnelle Antwort und schönen Tag.

     

    Gruß

    Michael

  • 0 in reply to michael hens

    Hallo Michael,

    ich denke es liegt daran, dass Du die Webprotection nutzt. Sprich der Datenverkehr des Proxy ist von den Firewallregeln ausgenommen. Ich unterstelle dann auch einfach mal, dass Du den Proxy im Transparenzmodus betreibst!?

    Um den Datenverkehr mit Regeln der Firewall zu steuern, schalte doch einfach mal die Webprotection aus. Dann sollte die genannte Firewall-Regel greifen und der Datenverkehr bei entsprechender Deaktivierung auch nicht weiter fließen.

     

    Grüße

    Alex

  • 0 in reply to Alexander Busch

    Hi!

     

    Du hast vollkommen Recht! Wir beitreiben die Webprotection im Tranzparenzmodus.
    Zum Test habe ich nun den Webfilter deaktiviert.

    Seltsamerweise kann ich nun aber auch von Hosts welche sich in der Gruppe befinden der "Web Surfing" an der Firewall erlaubt ist, nicht mehr aufs Internet zugreifen.
    Sobald ich den Webfilter wieder aktiviere geht die Verbindung ins Internet wieder.

    Wie und mit welchen Einstellungen kann ich Webprotection und Firewall parallel betreiben?
    Ein Hosts welcher sich in der Gruppe "Internetzugang" befindet sollte mit der folgenden Firewall Regel doch Internetzugang haben, sobald der Webfilter deaktiviert ist.
    Oder verstehe ich hier was falsch?

  • 0 in reply to michael hens

    Grundsätzlich korrekt. Wobei man hierzu noch das DNS betrachten sollte. Welche DNS Server sind auf dem Clientrechner hinterlegt? Gibt es ein Konzept wie die DNS Auflösung gestaltet ist? Hierzu beziehe ich mich auch auf die DNS Best Practice aus dem Forum hier.

    P.S. das Ziel Any in dieser Regel solltes Du in Internet IPv4 (ggf. IPv6 zusätzlich) ändern.

    P.P.S. DNS könnte man als Protokoll auch noch hinzufügen.

  • 0 in reply to Alexander Busch

    Guten Morgen!

     

    Wir haben auf den Clients unsere interne Domäne als DNS und die SOPHOS als Gateway hinterlegt.
    Ein weiteres Konzept bzgl. DNS gibt es aktuell nicht.

     

    Das Ziel habe ich nun mit "ANY IPV4" und "ANY IPV6" hinterlegt.

    Sorry, mir ist leider noch nicht klar, weshalb sich Firewall Regeln und Webfilter gegenseitig beeinflussen bzw. aufheben.

    Gibt es hier eine gute Doku zu?

  • 0 in reply to michael hens

    Hallo,

     

    vielleicht wäre ein Software Wechsel zu Sophos XG ratsam. 

    Diese Plattform ist für Neueinsteiger deutlich einfacher zu verstehen.

    https://community.sophos.com/kb/en-us/124588

     

     

    Dir fehlt wahrscheinlich eine MASQ Rule von Intern - Extern.

    Der Proxy intercepted die Connection und arbeitet dann mit seinen eigenen Interface, somit benötigt man keine MASQ und es funktioniert auch ohne. 

     

    Gruß

  • 0 in reply to LuCar Toni

    Hi!

    Die Info bzgl. MASQ hat mir glaube ich schon ein Stück weit geholfen.
    Als Neuling ist die SG230 sicherlich ne Nummer.
    Ich habe sie nun aber hier im Netz und werde mich Schritt für Schritt einarbeiten.
    Dank Foren wie diesem und den anwesenden Spezis ist es ja zum Glück möglich sich mit Fleiß ein gewisses Wissen selbst anzueignen.
    Euch beiden bis hierher schon einmal vielen Dank!

  • 0 in reply to michael hens

    Hallo Michael,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    #2 in Rulz will help you understand better.   Also see Doug Foster's take on some of this: READ ME FIRST: UTM Architecture.

    For getting started with Web Filtering, see Configuring HTTP/S proxy access with AD SSO.  Although the article is aimed at Standard mode, 98% of it applies to Transparent mode, too.

    MfG - Bob (Bitte auf Deutsch weiterhin.)