Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6626 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zweites internes Netzwerk einrichten

r.johnston
Hallo,

zusätzlich zu unserem produktiven internen Fimennetzwerk soll ein weiteres abgeschottetes Schulungsnetzwerk mit Internetzugriff eingerichtet werden.
Das bestehende interne Netz ist 192.168.2.0/24
Das neu einzurichtende Schulungsnetz soll dieses Subnet haben: 10.10.10.0/24
Unsere Sophos UTM 9.1 läuft virtuell auf einem Host mit 2 Netzwerkkarten, davor ist eine FritzBox 7270, welche als reines Modem fungiert. Hinter der Firewall befinden sich mehrere Switche.
Ist es möglich, in der Sophos ein neues Netzwerk anzulegen, dieses über einen anderen Netzwerkport an einen separaten Switch anzuschließen, sodass das produktive interne Netzwerk nicht angesteuert werden kann?
So ist es bisher eingerichtet, allerdings hat das neue Netzwerk ("Testumgebung") Zugriff auf das produktive Netz. Wie kann man das unterbinden?



Um diese Zugriffe auf das interne Netz zu unterbinden, wurden bereits Firewallregeln erstellt:



Ich bin dankbar für jede Hilfe, die ich bekommen kann.


This thread was automatically locked due to age.
  • 0
    Dies ist möglich über ein eigenes NIC oder über VLAN.

    Danach die üblichen Konfigs machen: DNS, Mask, Packet Rule, usw.....
  • 0
    das ist doch schon fast richtig eingerichtet.
    Nur muss die Regel 6 vor den Block regeln stehen und darf natürlich nciht auf any :-)

    also:
    1: Testumgebung -> Web Surfing -> External
    2: Testumgebung -> any -> Block (internal)
    3: Internal -> any -> Block (testumgebung)
    dann die andern regeln

    die Firewall macht First-fit, musst du also entsprechend sortieren, dass die Regeln sich nicht überschneiden.
    Vor Allem darf ganz oben nicht eine Regel stehen, die alles Erlaubt.. z.B. any -> any -> any sonst zieht nur die und nicht die andern.

    Gruß
  • 0
    regel 6 muss nicht vor 5....
    In regel 5 wird eingerichtet das testomgebung nicht nach intern netz kann, in regel 6 wird Web surfing freigegeben für alles (nur nicht nach Internal weil regel 5 das nicht erlaubt)

    Block regeln braucht man aber nicht oft, weil standard alles geblockt wird das nicht erlaubt is durch die regeln. (Wenn geblocktes traffic nicht im log kommen muss, dan braucht man eine block regel)

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0 in reply to apijnappels
    @apijnappels: stimmt, wenn man die Log Einträge nicht braucht, kann man die Regeln auch weglassen. vorausgesetzt er hat keine andere Regel die dem internen Netz erlaubt überall hin zu routen.
    bei der ordnung bin ich mir aber nicht ganz sicher. Meiner Meinung nach, muss die regel 6 vor 5 und das "any" in der Regel 6 muss gegen "External" getauscht werden. So habe ich es bei allen Firewalls gemacht und da klappt es genau so, wie ich es haben möchte.
    Es ist aber durchaus möglich, dass mehere Varianten klappen - will ich nicht bestreiten.

    Gruß
  • 0
    Hallo,

    die Schnittstelle Testumgebung eth3 ist nun auf VLAN umgestellt. Netzwerkverkehr zwischen dem Netz Testumgebung und dem internen Netz ist jetzt zwar unterbunden, allerdings ist keine Verbindung zum Internet möglich.
    Das Tauschen der Firewallregeln hat dabei auch nicht geholfen.



    Eine Netzwerkkarte mit 4 Ethernet Ports ist vorhanden, ist dabei jeder Port ein NIC?
  • 0 in reply to r.johnston
    Eine NAT-Regel hast du eingetragen?
Cookie Information Banner