Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 6 subscribers
  • Views 1211 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift nicht

TON GmbH

Hallo Zusammen, 

ich kämpfe mal wieder mit unserer zickigen XG. 

Es wurde eine Regel angelegt, die sämtlichen Zugang zum Backupserver verweigert. (Lan2Lan)

Dann wurde eine Regel angelegt, die innerhalb des LAN nur bestimmte Geräte (IPHosts) auf unseren Backupserver zugreifen lässt. 

Der Backupserver ist für Testzwecke ebenfalls Hyper-V-Host und ist über mehrere IP´s aus unterschiedlichen VLANs erreichbar. (...ja ich weiß, ist halt so....)

Soweit so gut. 

Teste ich die beiden Regeln über das Diagnosetool der XG, greifen diese auch jeweils richtig.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN1 greift die Regel und wird geblockt. 

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2050 greift die Regel und wird geblockt.

Teste ich z. B. von einem nicht zulässigen Gerät oder einer VM einen Ping oder RDP auf der IP im VLAN 2060 greift die Regel nicht und sowohl Ping als auch RDP funktioniert ohne Probleme. Sprich die Regel funktioniert nicht so wie sie soll.

Eingetragen ist es ja richtig in der Regel, sonst würde die Diagnose ja auch nicht passen. 

Kennt jemand solch ein Verhalten?

BTW:

Wofür sind eigentlich die Ausschlüsse in einer Regel? Sind diese nicht dafür gedacht, oben beschriebenes Vorhaben in einer Regel abzubilden? Also Verbot und Ausnahme in einer Regel?



This thread was automatically locked due to age.
  • 0 in reply to LuCar Toni

    Hi,

    das wäre die Regel, keine Ausnahmen, keine WebFilter, nichts an funktionalität eingetragen.

    Gruß

  • 0 in reply to NoName NoName2

    Schau in die Packet Capture, ob dort der Traffic matched. Wenn dort der Traffic anders aussieht, matched die Regel nicht. Oder ob dort eine andere Regel steht. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hi,

    auf dem Port kommt garnichts. Mache ich aber ein Packetcapture auf 443 wird unten der Netzwerkverkehr angezeigt.

    Ich habe eine TCP Socket Kommunikation die mit dem Port 2048 verbunden ist und ich sehe in meiner Anwednung auch das Daten Live vorhanden sind.

    Ich verstehe es nicht wo hier das Problem liegt ?

    Gruß

  • 0 in reply to NoName NoName2

    1. Wenn der Backup-Server (um den geht es doch noch?) "für Testzwecke ... über mehrere IP´s aus unterschiedlichen VLANs erreichbar" ist, geht die Traffic wahrscheinlich garnicht über die Firewall. (oder nur Teile der Traffic=asynchrones routing)
    Eine Netzwerk-Skizze wäre hier hilfreich.

    PS: habe den nutzer- (und damit Geräte-) Wechsel etwas spät realisiert. Könnte aber trotzdem das gleiche Problem sein.
    Netzwerk-Skizze; Routing auf dem Switch?; Ausgabe von Trace-Route aus beiden Richtungen ...

    2. Zeig uns doch mal deine selbsterstellte Service-definition ... da gab es letztens auch Missverständnisse


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hi,

    Entschuldigung das ich mich jetzt erst melde.

    zu1.

    So sieht es genau aus. Ich habe meine verschiedenen Server in ein eigenes Subnetz verlegt, keine VLANs angewandt.

    Die Server liegen alleine im eigenen Subnet. Dann habe ich entsprechend die Regeln angepasst.

    Von der Sache kann ich jetzt alles an Datenverkehr sehen.

    Sind denn solche Szenarien ein möglicher Aufbau oder macht man sowas gar nicht das man einen Server in ein eigens Subnetz legt, falls man jeden Datenverkehr kontrollieren möchte.

    zu2.

    Denke über die Definitionen brauchen wir nicht schauen, weil die Dienste anlegen ja nicht das Problem sind, oder was meinst du genau ?

    Gruß

  • 0 in reply to NoName NoName2

    1. das nennt man "Netzwerksegmentierung". Wird aktuell praktiziert, um die Server vor den Clients (und anderen Geräten) zu schützen

    2. doch, es könnte ein Zahlendreher existieren. Tritt nicht selten auf und man selbst (ich auch) sieht das einfach nicht.

    3. was sagt das log, wenn jetzt alles zu sehen ist?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Cookie Information Banner