Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 6 subscribers
  • Views 1211 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift nicht

TON GmbH

Hallo Zusammen, 

ich kämpfe mal wieder mit unserer zickigen XG. 

Es wurde eine Regel angelegt, die sämtlichen Zugang zum Backupserver verweigert. (Lan2Lan)

Dann wurde eine Regel angelegt, die innerhalb des LAN nur bestimmte Geräte (IPHosts) auf unseren Backupserver zugreifen lässt. 

Der Backupserver ist für Testzwecke ebenfalls Hyper-V-Host und ist über mehrere IP´s aus unterschiedlichen VLANs erreichbar. (...ja ich weiß, ist halt so....)

Soweit so gut. 

Teste ich die beiden Regeln über das Diagnosetool der XG, greifen diese auch jeweils richtig.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN1 greift die Regel und wird geblockt. 

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2050 greift die Regel und wird geblockt.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2060 greift die Regel nicht und sowohl Ping als auch RDP funktioniert ohne Probleme. Sprich die Regel funktioniert nicht so wie sie soll.

Eingetragen ist es ja richtig in der Regel, sonst würde die Diagnose ja auch nicht passen. 

Kennt jemand solch ein Verhalten?

BTW:

Wofür sind eigentlich die Ausschlüsse in einer Regel? Sind diese nicht dafür gedacht, oben beschriebenes Vorhaben in einer Regel abzubilden? Also Verbot und Ausnahme in einer Regel?



This thread was automatically locked due to age.
Parents
  • 0

    Exclusions in einer Firewall ist dafür da, dass die Firewall Regel nicht greift, auch wenn die Kritieren oben übereinstimmen. Jedoch wird danach das weitere Ruleset NICHT überprüft. Das bedeutet es ist nicht dafür da, zu sagen "Hier ist eine Regel für LAN to WAN, aber dieser Client nicht, da er eine andere Regel hat". 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo,

    ich würde auch gerne das Thema mit aufgreifen. Ich muss sagen so langsam bin ich auch leider genervt. Ich habe mir eine Regel erstellt, die bei den Regeln in der Liste ganz oben für Debug zwecke steht.

    Dort ist alles auf ANY gesetzt, bis auf das ich zwei Dienste als Port definiert habe. Die Auswahl der Ports ist richtig, weil meine Anwendung schon seit Ewigkeiten läuft. Die Ports sind USER definiert, 2048 und 2049. Wobei 2049 existiert, sollte aber kein Problem darstellen.

    Was passiert in der XG das genau diese Regel nicht greift, keine Bytes sind zu sehen die durch die Regel laufen, auch eine Protokollierung zeigt keine Zugriffe oder Blockierungen.. Was passiert in der XG das diese Regel nicht zum tragen kommt ?

    Ich stelle mir immer wieder die Frage wie ich solche Fehler detektieren kann.

    Vielleicht hat jemand einen Ansatz für mich wie man vorgeht oder woran ich gerade kläglich scheitere.

    Gruß und Danke

  • 0 in reply to NoName NoName2

    Eine Exclusion in der Firewall Regel lässt nicht weitere Regeln überprüfen. Der Traffic wird einfach verworfen. 

    Firewalling sollte immer von most specific to less specific aufgebaut werden.

    Regel 1 mit Port 1234

    Regel 2 mit Port ANY. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    eine Ausnahme ist nicht vorhanden.

    Die Reihenfolge der Regel ist gerade nur für Debugzwecke so angeordnet das die Regel ganz oben ist.

    Ich kann es gerade absolut nicht detektieren vorallem weil das Log ja nichts anzeigt was die Regel betrifft.

    Gruß

  • 0 in reply to NoName NoName2

    Das hat doch mit dem Thread hier nichts zu tun? Schau einfach in die Dokumentation von Life of a Paket über den Packet Flow.

    https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/122357/life-of-a-packet-sophos-firewall

    Das ist die Reihenfolge von jeder Verbindung. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    naja das hat wohl was mit dem Thread hier zu tun weil meine Regel auch nicht greift. Wollte fragen ?

    Aber das Thema bleibt das selbe. Habe die Firewall neu gestartet es ändert sich nichts !!!

    Gruß

Reply Children
No Data
Cookie Information Banner