Bridge bei allen Schnittstellen UTM9

Question

Hallo zusammen, 
 
 ich habe zwei SG210 UTM9 im HA laufen und habe folgendes Problem. 
 Ich habe 4 verschiedene Schnitstellen(Netzwerke) eingerichtet, jede Schnittstelle f&uuml;hrt aus der Firewall in einen eigenen Switch und von da aus in jeweils einen PC. 
 Das Problem ist ist, dass ich aus jedem Netzwerk ohne Probleme in das andere Netzwerk komme z.B. per RDP. 
 Ich habe folgende Dinge schon f&uuml;r die jeweiligen Netzwerke versucht: 
 - Firewallregeln deaktiviert 
 - NAT-Regeln deaktiviert 
 - Maskierung deaktiviert 
 jeweils ohne Erfolg. 
 
 Erst wenn ich die Schnittstelle abschalte habe ich logischerweise keinen Zugriff mehr auf dieses Netzwerksegment.

eth0

Network1 
 Ethernet 
 An 
 An

eth1

WAN 
 
 Ethernet 
 An 
 An

eth2

Network2 
 
 Ethernet 
 An 
 An

eth3

HA/Cluster 
 
 Ethernet 
 An 
 An

eth4

Network3 
 
 Ethernet 
 An 
 An

eth5

Network4 
 
 Ethernet

Ich gehe aus den entsprechenden Ethernetports der Firewall in jeweils eigenst&auml;ndige Switch die in keinster Weise miteinenader verbunden sind. Die an die Switche angeschlossenen Clients sind auch nur jeweils an einen Switch angeschlossen. 
 Hat hier jemand einen weiteren L&ouml;sungsansatz f&uuml;r mich? 
 Entschuldigt mich falls ich relevante Informationen vergessen haben sollte, diese trage ich nach Bedarf nat&uuml;rlich gerne nach.

NicetoHave · Accepted Answer

Hallo jprusch, 
 selbst wenn ich alle Regeln abgeschaltet habe haben sich alle angeschlossenen Test-PCs ohne Ver&auml;nderung fehlerhaft verhalten. 
 Ich m&ouml;chte mit einer Firewall-Regel sagen gib mir alles frei so wie ich es schon gemacht habe und mit einer zweiten Regel sagen was man nicht darf, wie z.B. in ein anderes Netzwerk per RDP verbinden. Das dies machbar w&auml;re, w&auml;re f&uuml;r mich logisch, ansonsten erschlie&szlig;t sich die Deny-Funktion f&uuml;r mich nicht ;). Um etwas zu blockieren muss ich es vorher freigegeben haben oder!? 
 Ich habe gerade telefonischen Support erhalten, es war ein Softwaredefekt der mit einer Neuinstallation des OS behoben wurde. Seitdem funktioniert auch die Konfiguration genau so wie ich es mir vorgestellt habe. 
 Besten Dank f&uuml;r die M&uuml;hen.

jprusch · Answer

Wollen wir jetzt auf englisch weitermachen oder bei deutsch bleiben? Bob versteht deutsch. 
 Also dein Problem sind die Firewall-Regeln 61,62, 65 und 66, da erlaubst du ja alles, deshalb kannst du von "Internal" auch &uuml;berall hin zugreifen. Die Regel 60 greift nur von "Internal" und ist total schlechter Stil. 
 Entweder man nutzt nur "Allow"-Regeln oder nur "Drop/Reject", aber nicht beides gemischt. 
 Meine bevorzugte Philosophie ist es, nur die Dienste zu zulassen, die man tats&auml;chlich nutzen will. Das schliesst ein "ANY" bei den Diensten aus. 
 Das sollte man nur zum Testen verwenden und anschliessend f&uuml;r den Produktivbetrieb verfeinern. 
 Wenn du also nicht m&ouml;chtest, dass man von "Internal (Network)" nach "Kameras(Network)" zugreift, dann schreibst du einfach KEINE Regel daf&uuml;r auf. Wenn dort nur per RDP "hineingegriffen" werden soll, dan gib ausschliesslich den Port 3389 f&uuml;r RDP frei, usw. usf. 
 Pingen kannst du aufgrund der globalen Einstellung f&uuml;r ICMP erstmal in alle direkt angebundenen Netze. 
 Zum Testen nimmst du am besten einen Portscanner, z.B. netscan von Softperfect.

Bridge bei allen Schnittstellen UTM9

Top Replies