Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 6 subscribers
  • Views 1211 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift nicht

TON GmbH

Hallo Zusammen, 

ich kämpfe mal wieder mit unserer zickigen XG. 

Es wurde eine Regel angelegt, die sämtlichen Zugang zum Backupserver verweigert. (Lan2Lan)

Dann wurde eine Regel angelegt, die innerhalb des LAN nur bestimmte Geräte (IPHosts) auf unseren Backupserver zugreifen lässt. 

Der Backupserver ist für Testzwecke ebenfalls Hyper-V-Host und ist über mehrere IP´s aus unterschiedlichen VLANs erreichbar. (...ja ich weiß, ist halt so....)

Soweit so gut. 

Teste ich die beiden Regeln über das Diagnosetool der XG, greifen diese auch jeweils richtig.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN1 greift die Regel und wird geblockt. 

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2050 greift die Regel und wird geblockt.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2060 greift die Regel nicht und sowohl Ping als auch RDP funktioniert ohne Probleme. Sprich die Regel funktioniert nicht so wie sie soll.

Eingetragen ist es ja richtig in der Regel, sonst würde die Diagnose ja auch nicht passen. 

Kennt jemand solch ein Verhalten?

BTW:

Wofür sind eigentlich die Ausschlüsse in einer Regel? Sind diese nicht dafür gedacht, oben beschriebenes Vorhaben in einer Regel abzubilden? Also Verbot und Ausnahme in einer Regel?



This thread was automatically locked due to age.
Parents
  • 0

    Exclusions in einer Firewall ist dafür da, dass die Firewall Regel nicht greift, auch wenn die Kritieren oben übereinstimmen. Jedoch wird danach das weitere Ruleset NICHT überprüft. Das bedeutet es ist nicht dafür da, zu sagen "Hier ist eine Regel für LAN to WAN, aber dieser Client nicht, da er eine andere Regel hat". 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hallo,

    ich würde auch gerne das Thema mit aufgreifen. Ich muss sagen so langsam bin ich auch leider genervt. Ich habe mir eine Regel erstellt, die bei den Regeln in der Liste ganz oben für Debug zwecke steht.

    Dort ist alles auf ANY gesetzt, bis auf das ich zwei Dienste als Port definiert habe. Die Auswahl der Ports ist richtig, weil meine Anwendung schon seit Ewigkeiten läuft. Die Ports sind USER definiert, 2048 und 2049. Wobei 2049 existiert, sollte aber kein Problem darstellen.

    Was passiert in der XG das genau diese Regel nicht greift, keine Bytes sind zu sehen die durch die Regel laufen, auch eine Protokollierung zeigt keine Zugriffe oder Blockierungen.. Was passiert in der XG das diese Regel nicht zum tragen kommt ?

    Ich stelle mir immer wieder die Frage wie ich solche Fehler detektieren kann.

    Vielleicht hat jemand einen Ansatz für mich wie man vorgeht oder woran ich gerade kläglich scheitere.

    Gruß und Danke

  • 0 in reply to NoName NoName2

    Eine Exclusion in der Firewall Regel lässt nicht weitere Regeln überprüfen. Der Traffic wird einfach verworfen. 

    Firewalling sollte immer von most specific to less specific aufgebaut werden.

    Regel 1 mit Port 1234

    Regel 2 mit Port ANY. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    eine Ausnahme ist nicht vorhanden.

    Die Reihenfolge der Regel ist gerade nur für Debugzwecke so angeordnet das die Regel ganz oben ist.

    Ich kann es gerade absolut nicht detektieren vorallem weil das Log ja nichts anzeigt was die Regel betrifft.

    Gruß

  • 0 in reply to NoName NoName2

    Das hat doch mit dem Thread hier nichts zu tun? Schau einfach in die Dokumentation von Life of a Paket über den Packet Flow.

    https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/122357/life-of-a-packet-sophos-firewall

    Das ist die Reihenfolge von jeder Verbindung. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    naja das hat wohl was mit dem Thread hier zu tun weil meine Regel auch nicht greift. Wollte fragen ?

    Aber das Thema bleibt das selbe. Habe die Firewall neu gestartet es ändert sich nichts !!!

    Gruß

  • 0 in reply to LuCar Toni

    Hi,

    das wäre die Regel, keine Ausnahmen, keine WebFilter, nichts an funktionalität eingetragen.

    Gruß

  • 0 in reply to NoName NoName2

    Schau in die Packet Capture, ob dort der Traffic matched. Wenn dort der Traffic anders aussieht, matched die Regel nicht. Oder ob dort eine andere Regel steht. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    auf dem Port kommt garnichts. Mache ich aber ein Packetcapture auf 443 wird unten der Netzwerkverkehr angezeigt.

    Ich habe eine TCP Socket Kommunikation die mit dem Port 2048 verbunden ist und ich sehe in meiner Anwednung auch das Daten Live vorhanden sind.

    Ich verstehe es nicht wo hier das Problem liegt ?

    Gruß

Reply
  • 0 in reply to LuCar Toni

    Hi,

    auf dem Port kommt garnichts. Mache ich aber ein Packetcapture auf 443 wird unten der Netzwerkverkehr angezeigt.

    Ich habe eine TCP Socket Kommunikation die mit dem Port 2048 verbunden ist und ich sehe in meiner Anwednung auch das Daten Live vorhanden sind.

    Ich verstehe es nicht wo hier das Problem liegt ?

    Gruß

Children
  • 0 in reply to NoName NoName2

    1. Wenn der Backup-Server (um den geht es doch noch?) "für Testzwecke ... über mehrere IP´s aus unterschiedlichen VLANs erreichbar" ist, geht die Traffic wahrscheinlich garnicht über die Firewall. (oder nur Teile der Traffic=asynchrones routing)
    Eine Netzwerk-Skizze wäre hier hilfreich.

    PS: habe den nutzer- (und damit Geräte-) Wechsel etwas spät realisiert. Könnte aber trotzdem das gleiche Problem sein.
    Netzwerk-Skizze; Routing auf dem Switch?; Ausgabe von Trace-Route aus beiden Richtungen ...

    2. Zeig uns doch mal deine selbsterstellte Service-definition ... da gab es letztens auch Missverständnisse


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hi,

    Entschuldigung das ich mich jetzt erst melde.

    zu1.

    So sieht es genau aus. Ich habe meine verschiedenen Server in ein eigenes Subnetz verlegt, keine VLANs angewandt.

    Die Server liegen alleine im eigenen Subnet. Dann habe ich entsprechend die Regeln angepasst.

    Von der Sache kann ich jetzt alles an Datenverkehr sehen.

    Sind denn solche Szenarien ein möglicher Aufbau oder macht man sowas gar nicht das man einen Server in ein eigens Subnetz legt, falls man jeden Datenverkehr kontrollieren möchte.

    zu2.

    Denke über die Definitionen brauchen wir nicht schauen, weil die Dienste anlegen ja nicht das Problem sind, oder was meinst du genau ?

    Gruß

  • 0 in reply to NoName NoName2

    1. das nennt man "Netzwerksegmentierung". Wird aktuell praktiziert, um die Server vor den Clients (und anderen Geräten) zu schützen

    2. doch, es könnte ein Zahlendreher existieren. Tritt nicht selten auf und man selbst (ich auch) sieht das einfach nicht.

    3. was sagt das log, wenn jetzt alles zu sehen ist?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Cookie Information Banner