Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bridge bei allen Schnittstellen UTM9

Hallo zusammen,

ich habe zwei SG210 UTM9 im HA laufen und habe folgendes Problem.

Ich habe 4 verschiedene Schnitstellen(Netzwerke) eingerichtet, jede Schnittstelle führt aus der Firewall in einen eigenen Switch und von da aus in jeweils einen PC.

Das Problem ist ist, dass ich aus jedem Netzwerk ohne Probleme in das andere Netzwerk komme z.B. per RDP.

Ich habe folgende Dinge schon für die jeweiligen Netzwerke versucht:

- Firewallregeln deaktiviert

- NAT-Regeln deaktiviert

- Maskierung deaktiviert

jeweils ohne Erfolg.

Erst wenn ich die Schnittstelle abschalte habe ich logischerweise keinen Zugriff mehr auf dieses Netzwerksegment.

eth0
Network1 Ethernet An An
eth1
WAN
Ethernet An An
eth2
Network2
Ethernet An An
eth3
HA/Cluster
Ethernet An An
eth4
Network3
Ethernet An An
eth5
Network4
Ethernet

Ich gehe aus den entsprechenden Ethernetports der Firewall in jeweils eigenständige Switch die in keinster Weise miteinenader verbunden sind. Die an die Switche angeschlossenen Clients sind auch nur jeweils an einen Switch angeschlossen.

Hat hier jemand einen weiteren Lösungsansatz für mich?

Entschuldigt mich falls ich relevante Informationen vergessen haben sollte, diese trage ich nach Bedarf natürlich gerne nach.



This thread was automatically locked due to age.
Parents
  • Hallo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    NAT and masquerading?  You will cause such problems if you NAT/masq traffic between your networks.

    WebAdmin automatically creates routes between all networks defined on UTM interfaces.  You decide with firewall rules which traffic is allowed.

    As Philipp implies, "a picture is worth a thousand words!"

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thank you for the greeting .

    I understand that but I have the option of establishing an RDP connection from my internal network to my camera network with the configuration that I have sent.

     
  • Wollen wir jetzt auf englisch weitermachen oder bei deutsch bleiben? Bob versteht deutsch.

    Also dein Problem sind die Firewall-Regeln 61,62, 65 und 66, da erlaubst du ja alles, deshalb kannst du von "Internal" auch überall hin zugreifen. Die Regel 60 greift nur von "Internal" und ist total schlechter Stil.

    Entweder man nutzt nur "Allow"-Regeln oder nur "Drop/Reject", aber nicht beides gemischt.

    Meine bevorzugte Philosophie ist es, nur die Dienste zu zulassen, die man tatsächlich nutzen will. Das schliesst ein "ANY" bei den Diensten aus.

    Das sollte man nur zum Testen verwenden und anschliessend für den Produktivbetrieb verfeinern.

    Wenn du also nicht möchtest, dass man von "Internal (Network)" nach "Kameras(Network)"  zugreift, dann schreibst du einfach KEINE Regel dafür auf. Wenn dort nur per RDP "hineingegriffen" werden soll, dan gib ausschliesslich den Port 3389 für RDP frei, usw. usf.

    Pingen kannst du aufgrund der globalen Einstellung für ICMP erstmal in alle direkt angebundenen Netze.

    Zum Testen nimmst du am besten einen Portscanner, z.B. netscan von Softperfect.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Danke für die schnelle Antwort.

    Mir ist die Sprache recht die alle verstehen wenn der Bob auch deutsch versteht dann ist das doch super.

    Ich verstehe deine Philosophie und kann der nur zustimmen.

    Meine Frage ist dennoch funktioniert meine Konfiguration so nicht weil man keine "Allow" und "Deny"-Regeln mischen darf oder sollte das so eigentlich funktionieren, ist aber halt nur keine schöne Lösung.

  • Es gibt keine "Bridge", so wie du es in deiner Frage bereits implizierst.

    Die Schnittstellen der Sophos SG-UTM sind eigenständig und werden wunderbar geroutet.

    Du kannst, wenn du das unbedingt benötigst, eine Bridge konfigurieren. Aber der Standard-Wert ist das nicht; für keines der Interfaces.

    Also, wie können wir dir helfen?

    Offensichtlich kennst du dich mit den Firewallregeln der UTM nicht gut aus.

    Es wäre daher am einfachsten, du beschreibst deine ANFORDERUNG(EN), und wir formulieren daraus gemeinsam die entsprechenden Firewallregeln. Das Routing zwischen den Netzen gibt es ja schon.

    Beispiel: deine Kameras  werden sicher einen Port benötigen, um den Videostream auf einem Speicher abzulegen.

    Wenn diese Geräte sich in zwei verschiedenen Netzwerk-Segmenten befinden, dann muss der Port dazu mit einer Firewallregel geöffnet werden. Genauso verhält es sich mit dem RDP-Zugriff von A nach B, hier öffnet man den TCP-Port 3389 (für RDP) vom entsprechenden Quell-Netzwerk oder Host zum Ziel des RDP-Zugriffs. usw. usf.

    Bei Fragen einfach hier eine Frage stellen! Aber bitte offene Fragen stellen, keine Vermutungen äußern.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Danke für die Antwort. Leider kenne ich mich nicht gut genug aus das stimmt genau deswegen habe ich diesen Beitrag erstellt.

    Fakt ist ich komme zur Zeit mit dieser angegeben Knofiguration von einem Netzwerk per RDP ins andere.

    Ich möchte nun, ohne jeden Dienst einzelnd als Regel zu definieren, jeglichen Zugriff von Netzwerk A zu B und umgekehrt sperren.

    LG

  • Hallo NiceToHave,

    mit einer Regel, die "Any" als Service und "Any" als Ziel enthält, darfst du natürlich aus dem Netzwerk "Internal" heraus alles. Das ist doch logisch, oder?

    Der trick besteht darin (wie bereits oben beschreiben), dass man nur die Dienst zulässt, die man haben will. UND nur von den Quellen zu den Zielen, die diesen Dienst sinnvollerweise nutzen (sollen). Das erfordert ein wenig Planung, deshlab meine Aufforderung, doch einmal deine Anforderungen in normlaer Sprache zu beschreiben. Dann können wir auch helfen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Nochmal hllo,

    du kannst auch den Gegentest durchführen: Deaktiviere doch mal die Regeln 61,62, 65 und 66. Dann solltest du nicht mehr zugreifen können. Es sei denn, die anderen Regeln, die wir hier nicht sehen, erlauben das dann doch wieder.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo jprusch,

    selbst wenn ich alle Regeln abgeschaltet habe haben sich alle angeschlossenen Test-PCs ohne Veränderung fehlerhaft verhalten.

    Ich möchte mit einer Firewall-Regel sagen gib mir alles frei so wie ich es schon gemacht habe und mit einer zweiten Regel sagen was man nicht darf, wie z.B. in ein anderes Netzwerk per RDP verbinden. Das dies machbar wäre, wäre für mich logisch, ansonsten erschließt sich die Deny-Funktion für mich nicht ;). Um etwas zu blockieren muss ich es vorher freigegeben haben oder!?

    Ich habe gerade telefonischen Support erhalten, es war ein Softwaredefekt der mit einer Neuinstallation des OS behoben wurde. Seitdem funktioniert auch die Konfiguration genau so wie ich es mir vorgestellt habe.

    Besten Dank für die Mühen.

Reply
  • Hallo jprusch,

    selbst wenn ich alle Regeln abgeschaltet habe haben sich alle angeschlossenen Test-PCs ohne Veränderung fehlerhaft verhalten.

    Ich möchte mit einer Firewall-Regel sagen gib mir alles frei so wie ich es schon gemacht habe und mit einer zweiten Regel sagen was man nicht darf, wie z.B. in ein anderes Netzwerk per RDP verbinden. Das dies machbar wäre, wäre für mich logisch, ansonsten erschließt sich die Deny-Funktion für mich nicht ;). Um etwas zu blockieren muss ich es vorher freigegeben haben oder!?

    Ich habe gerade telefonischen Support erhalten, es war ein Softwaredefekt der mit einer Neuinstallation des OS behoben wurde. Seitdem funktioniert auch die Konfiguration genau so wie ich es mir vorgestellt habe.

    Besten Dank für die Mühen.

Children
No Data