Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 6 subscribers
  • Views 1211 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift nicht

TON GmbH

Hallo Zusammen, 

ich kämpfe mal wieder mit unserer zickigen XG. 

Es wurde eine Regel angelegt, die sämtlichen Zugang zum Backupserver verweigert. (Lan2Lan)

Dann wurde eine Regel angelegt, die innerhalb des LAN nur bestimmte Geräte (IPHosts) auf unseren Backupserver zugreifen lässt. 

Der Backupserver ist für Testzwecke ebenfalls Hyper-V-Host und ist über mehrere IP´s aus unterschiedlichen VLANs erreichbar. (...ja ich weiß, ist halt so....)

Soweit so gut. 

Teste ich die beiden Regeln über das Diagnosetool der XG, greifen diese auch jeweils richtig.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN1 greift die Regel und wird geblockt. 

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2050 greift die Regel und wird geblockt.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2060 greift die Regel nicht und sowohl Ping als auch RDP funktioniert ohne Probleme. Sprich die Regel funktioniert nicht so wie sie soll.

Eingetragen ist es ja richtig in der Regel, sonst würde die Diagnose ja auch nicht passen. 

Kennt jemand solch ein Verhalten?

BTW:

Wofür sind eigentlich die Ausschlüsse in einer Regel? Sind diese nicht dafür gedacht, oben beschriebenes Vorhaben in einer Regel abzubilden? Also Verbot und Ausnahme in einer Regel?



This thread was automatically locked due to age.
Parents
  • 0

    ist der Backupserver im letzten Fall evtl. ohne Firewallberührung erreichbar?

    Eine kleine NetzSkizze wäre hilfreich.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0

    ist der Backupserver im letzten Fall evtl. ohne Firewallberührung erreichbar?

    Eine kleine NetzSkizze wäre hilfreich.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Schlechtes Design!

    Man sollte niemals Allow und Deny Regeln mischen, das geht fast immer schief.

    Grundsätzlich haben wir ja ein „Deny all“ Design, also alles, was nicht explizit erlaubt ist , wird verworfen.

    Damit ist die Lan2Lan Regel überflüssig.

    Es muss also irgendwo in eurem Regelwerk eine Lücke geben, die vor der anderen Regel greift.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Guten Morgen, 

    es ist so wie DirkKotte geschrieben hat. Eigentlich ist das Netzwerk so konstruiert, dass sämtlicher Verkehr erst über die XG läuft. Aber scheinbar ist da noch eine Config im Switch nicht korrekt. Die Anfragen aus VLAN 1 und 2050 sind im Log sichtbar, die aus 2060 nicht.

    @jprusch: Warum muss man alles was man nicht selbst gemacht hat direkt als "schlecht" abstempeln obwohl man die Umgebung gar nicht kennt... Völlig deplatziert. Ja gab für die Einführung eine any2any-Regel die aber im Test ausgeschaltet ist. Über die Diagnose sieht man ja, welche Regel greift und es ist ja die richtige Regel nur geht der Traffic eben an der XG vorbei. 

    Danke für den Hinweis. Thumbsup

  • 0 in reply to TON GmbH

    Guten Morgen,

    das war auf keinen Fall persönlich gemeint!

    Als Troubleshooter, inbesondere wenn es mal so richtig klemmt im Netzwerk unserer Kunden, bin ich jeden Tag damit beschäftigt, dass es zur schnellen Problemlösung nichts nutzt, um den heißen Brei herum zu reden.

    Also: wenn das zu harsch herüberkam, entschuldige ich mich natürlich.

    Dennoch: die oben beschriebene Regel "zur Heilung"  einer nicht-korrekten Konfiguration ist ja geradezu der Klassiker für ein "suboptimales Design".

    Und einen Fehler als solchen zu benennen hat noch nie geschadet, im Gegenteil: manchmal stößt man dann schneller auf die Lösung.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Cookie Information Banner