Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 6126 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 Netze getrennt an einer Astaro betreiben

mario2
Hallo, 
ich benötige etwas Hilfe. Vermutlich eine einfache Sache[:D] 
Bis jetzt kann der Rechner aus Netz 3 auf Daten von Netz 2 zugreifen. 
Was muss ich einstellen oder ändern damit das verhindert wird?

An meiner Astaro sind 3 Schnittstellen. 

Die 1. für DSL, 
die 2. für das Netzwerk -> IP 192.168.1.1  Netzmaske 255.255.255.0
und eine 3. für separate Rechner - >IP 192.168.2.1 Netzmaske 255.255.255.248
Das Netz 2 und 3 dürfen nicht miteinander kommunizieren.
Beide Netze gehen über die 1. Schnittstelle online.

Folgende Regeln habe ich eingestellt:
Nat  Regel 
Netz3 (Network)   --> 1 DSL 

Parketfilterregeln  (Internet)
Netz3 (Network)   --> Any 


Vielen Dank
Gruss Mario


This thread was automatically locked due to age.
  • 0
    Moin

    wenn ich dich richtig verstanden habe soll das Netz3 lediglich auf das Internet zugreifen aber nicht auf das Netz2 welches du angelegt hast.

    Wenn die Regel die du angelegt hast, wie folgt aussieht:
    Source  ->   Service  ->  Destinantion  ->  Aktion
    Netz3    ->   any         ->  Any                  ->  allow
    erklärt das warum das Netz3 auf das Netz2 zugreifen kann. Mit dieser Regel erlaubst Netz3 auf alles und jedes Netz zu zugreifen. Wenn du nur das Internet erlauben möchtest gibt es in den definition's ein extra Internet Objekt.

    Wenn du an erster Stelle deines Regelwerkes eine Regel wie folgt erstellst verhinderst du das Netz2 auf Netz3 zugreifen kann.
    Source  ->   Service  ->  Destinantion  ->  Aktion
    Netz3    ->   any         ->  Netz2              ->  deny

    In dieser Regel darfst du als Destination natürlich nicht Any eintragen denn ansonsten darf das Netz3 auf gar nichts mehr zugreifen.


    MFG
    tandaril
  • 0 in reply to tandaril
    Danke für den Tip. Leider kann ich immer noch auf das andere Netz zugreifen. Ich hänge mal ein Bild von den Regeln an.
    Ich habe noch Zugriff von Out-Net auf Netzwerk

    Gruss Mario
  • 0
    Hi Mario,

    was schreibt das Packetfilter Log dazu? Mit welchem Service (ping, http, smtp,...???) greifst du zu?

    Liebe Grüsse
    Marco
  • 0 in reply to r2k
    Ich habe jetzt etwas getestet. Wenn ich den HTTP-Proxy ausschalte, worüber beide Netzwerke laufen, dann kann keiner mehr mit dem anderen kommunizieren.

    Schalte ich den HTTP-Proxy wieder ein, kann ich im Live-Log vom HTTP/S sehen wie der Rechner 192.168.2.2 mit dem anderen Netz 192.168.1.211 Verkehr zulässt. 

    2011:02:27-15:11:56 astaro httpproxy[2676]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.2" dstip="192.168.1.211" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="84" time="407 ms" request="0xa3e6df68" url="webbox.mb/.../html" 



    Im Paketfilter-Log ist nichts wichtiges zu sehen. 

    Ist das normal mit dem HTTP Proxy ?? Er läuft bei mir im transparent Modus.
  • 0 in reply to r2k
    Hi Mario,

    was schreibt das Packetfilter Log dazu? Mit welchem Service (ping, http, smtp,...???) greifst du zu?

    Liebe Grüsse
    Marco


    Es sind alles http Zugriffe auf verschiedene Webinterfaces
  • 0
    Hi Mario,

    ja das ist "normal".

    Andere Dienste sollten geblockt werden. Nur eben HTTP nicht, wegen dem Proxy.

    Mach mal im Webproxy unter Advanced das interne Netz in die Transparent mode skiplist Liste
  • 0 in reply to r2k
    Hi Mario,

    ja das ist "normal".

    Andere Dienste sollten geblockt werden. Nur eben HTTP nicht, wegen dem Proxy.

    Mach mal im Webproxy unter Advanced das interne Netz in die Transparent mode skiplist Liste


    Hallo, das hat leider nichts gebracht, ich habe immer noch Zugriff.

    Gruss Mario
  • 0 in reply to mario2
    Hier eine kurze Zusammenfassung um was es hier geht !!!

    Kennt jemand eine Möglichkeit, 2 unterschiedliche Netzwerke an einer Astaro mit aktiven HTTP Proxy(transparent Modus) zu betreiben. Die beiden Netzwerke dürfen nicht mit einander kommunizieren. Es darf auch kein HTTP Verkehr untereinander ausgetauscht werden. Beide Netzwerke gehen über eine 3 Netzwerkkarte online.

    Ist dies überhaubt möglich?

    Danke
    Gruss Mario
  • 0
    Habe aktuell genau das gleiche Problem.

    Habe auch schon Regeln gemacht die den Verkehr verbieten. (Bzw alle anderen Regeln sind nur NETZ->Service->Internet IPv4).
    Eigentlich sollte dann ja auch die Default DROP Regel greifen. Tut sie aber auch nicht.

    Es geht trotzdem. Was ganz blöd ist. Da so ein Gastnetz auch auf meine TK-Anlage kommt.

    Der Paketfilter schein nur in Richtung WAN & VPN zu greifen.
  • 0
    Bei mir kann ich übrigens selbst bei ausgeschalteten HTTP Proxy immer noch auf HTTP Seiten aus den anderen Netzen zugreifen.
Cookie Information Banner