Firewall Regel - Clientless User / Übereinstimmung mit bekannten Benutzern

Das ist ein gewolltes Verhalten. Die Firewall blockiert Port80/443 mit dem Web Proxy und nicht der Firewall selbst. Dadurch hat der Enduser eine Block Website im Browser und kein "Connection time out" vom Browser selbst. Du siehst das auch daran, dass im Logviewer zwar die Firewall grün ist, aber wenn du ein Mouse Over machst, die Web Policy "Deny All" ist. 

Aus der technischen Perspektive ist das korrekt, denn die Firewall muss es erlauben, damit der Proxy es blockieren kann. Das Logging im Logviewer sieht nur auf den ersten Blick nicht korrekt aus. 

Hi,

ok ich vergaß. Die Abarbeitung bzw. die Reihenfolge ist erst der WebProxy der seine Überprüfungen vornimmt und dann die Firewall-Regeln.

Dann noch die Frage, benötige ich in meinem einfachen Netzwerkaufbau und Firewall Einstellungen überhaupt den ClientlessUSer ?

Ich habe keine SophosCentral und Sonstige Sophos Cloudanbindungen.

Alleine nur die eine Tatsache, man sieht natürlich im LogViewer viel besser anhand vom Username um welchen Client es sich handelt, Gesetzt der Fall, das nur ein User auch nur an einem IP-Host vorhanden ist, sprich bei mir werden sich keine zwei User an einem IP-Host anmelden, ich habe ja auch keine weiteren Sophos Tools die mir das ermöglichen bzw. auch einen DomänenController etc.

Ich hoffe ich konnte das so richtig wieder geben.

Kannst du denn nochmal genauer erklären wann man genau mit der Firewal Regel Option "Übereinstimmung mit bekannten Benutzer" arbeiten muss ?

Danke und Gruß

User auf der Firewall sind Zugehörigkeiten zu IP Adressen. In einer Firewall Regel kannst du die Source IP durch einen User ersetzen.

Clientless User sind einfach IP zu Benutzer Zuordnung, die statisch sind. Die Firewall reagiert dann auf diese Zugehörigkeit. Unter Live User siehst du das Mapping und die Firewall setzt das dann für Firewalling und auch Reporting um. 

Hi,

ok, ist das ein muss einen ClientLessUser anzulegen oder könnte ich alle ClientLessUser löschen ? Aber wenn man mit dem WebProxy arbeiten möchte, komme ich ohne den ClientLessUSer nicht aus oder ?

ok,

ich habe gerade mal den Test gemacht. Irgendwie verstehe ich immer noch nicht den Zusammehang zwischen dem Web-Proxy und der Fireweall Regel.

Ich habe mal als Benutzer einen völlig anderen ausgewählt der auch einer ganz anderen IP-Host entspricht.

z.B. mit meinem Handy, ich konnte weiter Internetzugriffe vornehmen, das habe ich auch genau in dem LogViewer gesehen.

Irgendwie verstehe ich die diese zusammenhänge leider nicht .

Vielleicht nochmal eine Erklärung bitte dazu.

Gruß

Firewall nutzt die Live User. Dort wird einfach die IP aus den Object mit dem Live User Object ausgetauscht. 

Web Filter greift erst dann, wenn auch die Firewall Regel die Web Filter Regel vorher angewandt hat. 

Hi,

sorry ich habe es immer noch nicht verstanden und sehe absolut keine Zusammenhänge.

Ich probiere schon sehr viel aus etc und versuche mit dem LogViewer zu arbeiten aber ich komme nicht dahinter wie diese Mechanismen funktionieren, auch aus der Doku werde ich nicht schlau daraus.

Wärst du so nett und erklärst bitte die zusammenhänge vielleicht auch mit zwei Beispielen.

Vor allem für mich steht immer noch die Frage im Raum, benötige ich die ClientLessUser ?

Gruß

Ich finde die Clientless user auch wegen der Sichtbarkeit nützlich.

Auch arbeite ich mit echten / authentifizierten Nutzern (Auth via Webbrowser). 

Clientless user sind "Nutzer", die auf Grund einer IP existieren. So kann ich einem gerät, welches sich nicht anmelden kann einen usernamen geben.

Ein "muß" sind Nutzer nicht ... auch die Clientless user braucht man nicht zwingend.

Erst, wenn man in Webpolicies oder firewall-rules user auswählt, braucht man auch "user".

Zum Fehlverhalten der Rule ohne Auswahl von Nutzern:

Ich hatte letzte Woche auch den Effekt, dass eine "permit" rule gematcht hat, aber ein "deny" veranlasst hat (lt. LogViewer). Die Rule-ID  war eindeutig. Es kam aber nix durch.

Ein Neuerstellen der Rule und 1:1 nachkonfigurieren erstellte eine funktionierende Rule.  Evtl. haben wir hier einen gelegentlichen bug.

Hi,

was eventuell der Bugs angeht, ich kann es nicht genau nachstellen weil mir einfach noch zu viel Wissen fehlt. Möglich ist alles. Ich hatte kürzlich ein Phänomen, unerklärlich.

Ok, dann nochmal bitte zu der Benutzer zurück.

Ich gehe auch davon aus, das ja ein ClientLessUser der ja bei mir IP gebunden ist, auch gleich der Host-IP sein sollte.

Ist das richtig ?

Kannst du mir bitte genau erklären wann ich in einer Firewall Regel die bestimmten Nutzer auswählen muss und wann nicht.

Ich verstehe es immer noch nicht, das liegt aber auch vielleicht daran das sich nichts bei mir am Verhalten der Clients ändert. Daher kann ich meine Änderungen und Versuche nicht nachvollziehen. Ich probiere so viel aus um zu versuchen und zu verstehen.

Gruß

Clientless User hat mit Networking nichts zu tun. Du musst das doppelt machen. Das heißt, die IP in Clientless User, die du gerne verwenden möchtest, musst du auch bei DHCP als Static eintragen. Nur dann ist sicher gestellt, dass dein Host A auch die IP 1 bekommt und du auch mit IP 1 den User C zuordnest. 

Clientless User hat mit Networking nichts zu tun. Du musst das doppelt machen. Das heißt, die IP in Clientless User, die du gerne verwenden möchtest, musst du auch bei DHCP als Static eintragen. Nur dann ist sicher gestellt, dass dein Host A auch die IP 1 bekommt und du auch mit IP 1 den User C zuordnest. 

Hi,

genau das habe ich bei allen konsequent durchgezogen.

Ok, dann bitte nochmal die Zusammenhänge von Regel/Bekannte Benutzer und WebProxy Benutzer etc. usw.

Dieses Zusammenspiel klappt bei mir irgendwie nicht.

Danke und Gruß

Du machst eine Firewall Regel, die den Webfilter zuordnet. Im Webfilter baust du eine Regel anhand von Usern, die etwas erlaubt/nicht erlaubt und das wars schon. 

mal ein einfaches beispiel.

erst mal ohne den WEB-Filter.

Du kannst der IP deines Fernsehers den Clientless Nutzer "fernseher" zuordnen.

Dann könnte eine Firewall-Regel, welche dem Fernseher Internetzugang ermöglicht, so aussehen:

Quelle LAN zone / ANY

Ziel WAN zone / ANY

Service ANY

Bekannte Nutzer "fernseher"

Das Ergebnis ist das Gleiche wie bei:

Quelle LAN zone / fernseher-IP

Ziel WAN zone / ANY

Service ANY

Bekannte Nutzer - nicht gewählt

der nächste Schritt wäre dann der Webfilter...

Handy von Kind1 hat den ClientLess User HandyKind1 zugeordnet

Die Firewall-Regel:

Quelle LAN zone / ANY

Ziel WAN zone / ANY

Service ANY

Bekannte Nutzer - nicht gewählt

Hallo,

danke für die Antworten, bevor ich mir das genau anschaue, noch eine Frage bitte.

Wann wird der WebProxy abgearbeitet, z.B. bei den Ports 80/443, ohne einen WebfilterContent einer FirewallRegel zu zuordnen. ?

Oder

wird erst die Firewall Regel abgearbeitet und dann wird anhand der WebfilterRegl in der FirewallRegel der Content geprüft?

Diese Konstellation habe ich nicht verstanden wie diese Abarbeitungsreihenfolge ist, weil genau an dem prüft man ja auch z.B. mit dem LogViewer alles passt. Ich hatte ja schon erwähnt das ich da irritiert bin das der Log Status "grün" zeigt obwohl nach der Regel geblockt werden soll.

Gruß und Danke

Schau mal hier:

community.sophos.com/.../life-of-a-packet-sophos-firewall