Firewall Regel greift nicht

ist der Backupserver im letzten Fall evtl. ohne Firewallberührung erreichbar?

Eine kleine NetzSkizze wäre hilfreich.

Schlechtes Design!

Man sollte niemals Allow und Deny Regeln mischen, das geht fast immer schief.

Grundsätzlich haben wir ja ein „Deny all“ Design, also alles, was nicht explizit erlaubt ist , wird verworfen.

Damit ist die Lan2Lan Regel überflüssig.

Es muss also irgendwo in eurem Regelwerk eine Lücke geben, die vor der anderen Regel greift.

Guten Morgen, 

es ist so wie DirkKotte geschrieben hat. Eigentlich ist das Netzwerk so konstruiert, dass sämtlicher Verkehr erst über die XG läuft. Aber scheinbar ist da noch eine Config im Switch nicht korrekt. Die Anfragen aus VLAN 1 und 2050 sind im Log sichtbar, die aus 2060 nicht.

@jprusch: Warum muss man alles was man nicht selbst gemacht hat direkt als "schlecht" abstempeln obwohl man die Umgebung gar nicht kennt... Völlig deplatziert. Ja gab für die Einführung eine any2any-Regel die aber im Test ausgeschaltet ist. Über die Diagnose sieht man ja, welche Regel greift und es ist ja die richtige Regel nur geht der Traffic eben an der XG vorbei. 

Danke für den Hinweis.

Guten Morgen,

das war auf keinen Fall persönlich gemeint!

Als Troubleshooter, inbesondere wenn es mal so richtig klemmt im Netzwerk unserer Kunden, bin ich jeden Tag damit beschäftigt, dass es zur schnellen Problemlösung nichts nutzt, um den heißen Brei herum zu reden.

Also: wenn das zu harsch herüberkam, entschuldige ich mich natürlich.

Dennoch: die oben beschriebene Regel "zur Heilung"  einer nicht-korrekten Konfiguration ist ja geradezu der Klassiker für ein "suboptimales Design".

Und einen Fehler als solchen zu benennen hat noch nie geschadet, im Gegenteil: manchmal stößt man dann schneller auf die Lösung.

Exclusions in einer Firewall ist dafür da, dass die Firewall Regel nicht greift, auch wenn die Kritieren oben übereinstimmen. Jedoch wird danach das weitere Ruleset NICHT überprüft. Das bedeutet es ist nicht dafür da, zu sagen "Hier ist eine Regel für LAN to WAN, aber dieser Client nicht, da er eine andere Regel hat". 

Hallo,

ich würde auch gerne das Thema mit aufgreifen. Ich muss sagen so langsam bin ich auch leider genervt. Ich habe mir eine Regel erstellt, die bei den Regeln in der Liste ganz oben für Debug zwecke steht.

Dort ist alles auf ANY gesetzt, bis auf das ich zwei Dienste als Port definiert habe. Die Auswahl der Ports ist richtig, weil meine Anwendung schon seit Ewigkeiten läuft. Die Ports sind USER definiert, 2048 und 2049. Wobei 2049 existiert, sollte aber kein Problem darstellen.

Was passiert in der XG das genau diese Regel nicht greift, keine Bytes sind zu sehen die durch die Regel laufen, auch eine Protokollierung zeigt keine Zugriffe oder Blockierungen.. Was passiert in der XG das diese Regel nicht zum tragen kommt ?

Ich stelle mir immer wieder die Frage wie ich solche Fehler detektieren kann.

Vielleicht hat jemand einen Ansatz für mich wie man vorgeht oder woran ich gerade kläglich scheitere.

Gruß und Danke

Eine Exclusion in der Firewall Regel lässt nicht weitere Regeln überprüfen. Der Traffic wird einfach verworfen. 

Firewalling sollte immer von most specific to less specific aufgebaut werden.

Regel 1 mit Port 1234

Regel 2 mit Port ANY. 

Hi,

eine Ausnahme ist nicht vorhanden.

Die Reihenfolge der Regel ist gerade nur für Debugzwecke so angeordnet das die Regel ganz oben ist.

Ich kann es gerade absolut nicht detektieren vorallem weil das Log ja nichts anzeigt was die Regel betrifft.

Gruß

Das hat doch mit dem Thread hier nichts zu tun? Schau einfach in die Dokumentation von Life of a Paket über den Packet Flow.

https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/122357/life-of-a-packet-sophos-firewall

Das ist die Reihenfolge von jeder Verbindung. 

Hi,

naja das hat wohl was mit dem Thread hier zu tun weil meine Regel auch nicht greift. Wollte fragen ?

Aber das Thema bleibt das selbe. Habe die Firewall neu gestartet es ändert sich nichts !!!

Gruß