Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4598 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

alle Ports von/nach WAN sperren

m_vetdoc
Hallo Leute,
irgendwie seh ich vor lauter Bäumen den Wald nicht mehr und brauch jetzt eure Hilfe. [:@]

Wenn ich unter Firewall die Regel 
195.159.3.50 --> WebSurfing --> Internet IP4
abschalte
aber der WebFilter (Transparent) mit 195.159.3.50 noch aktiv ist, hat die IP Zugang zum WAN.

Schalte ich die Firewallregel ein und deaktiviere den WebFilter, ist der WAN-Zugang trotzdem möglich.

Erst wenn ich Firewall und WebFilter abschalte gehts nicht mehr nach draussen.

Ist das Richtig so, dass die Firewall den WebFilter umgeht und der WebFilter die Firewallregeln??
Betrifft das nur die Ports aus WebSurfing und alle anderen Ports sind für in/out gesperrt?
Ich war der Meinung, dass die Firewallregel immer als Erstes greift und festlegt, welche IP mit welchen Ports nach außen darf bzw. nicht darf. Der WebFilter dann erst die WebInhalte filtert.
Wie muss die UTM denn dann eingestellt werden, wenn eine IP keinen WAN-Zugang haben soll, aber trotzdem die WinUpdates ankommen sollen. Denn Webfilter/Ausnahmen funzt ja dann so nicht.
Ist es nicht besser bei den Firewallregeln anstatt "Internet IP4" "Uplink Primary Addresses" einzustellen? Worin ist hier der Unterschied?


This thread was automatically locked due to age.
Parents
  • 0
    Hi m_vetdoc

    Hallo Leute,
    irgendwie seh ich vor lauter Bäumen den Wald nicht mehr und brauch jetzt eure Hilfe. [:@]

    Wenn ich unter Firewall die Regel 
    195.159.3.50 --> WebSurfing --> Internet IP4
    abschalte aber der WebFilter (Transparent) mit 195.159.3.50 noch aktiv ist, hat die IP Zugang zum WAN.

    Schalte ich die Firewallregel ein und deaktiviere den WebFilter, ist der WAN-Zugang trotzdem möglich.

    Erst wenn ich Firewall und WebFilter abschalte gehts nicht mehr nach draussen.
    Ist das Richtig so, dass die Firewall den WebFilter umgeht und der WebFilter die Firewallregeln??

    Ja, der Proxy greift vor den Firewallregeln (siehe auch mein Zusatz, kann die Ursache für dein Problem sein). Aber die Regeln werden nicht umgangen.



    Betrifft das nur die Ports aus WebSurfing und alle anderen Ports sind für in/out gesperrt?

    Wie schon beschrieben, gillt dies nur für HTTP Verkehr und wenn du HTTPS Scanning aktiviert hast, auch für HTTPS.


    Ich war der Meinung, dass die Firewallregel immer als Erstes greift und festlegt, welche IP mit welchen Ports nach außen darf bzw. nicht darf. Der WebFilter dann erst die WebInhalte filtert.

    Nein, es wird direkt eine Freigabe erstellt, sobald der Proxy aktiviert wird und weitere Steuerung dann über den Proxy. Was ich persönlich sehr gut umgesetzt finde.


    Wie muss die UTM denn dann eingestellt werden, wenn eine IP keinen WAN-Zugang haben soll, aber trotzdem die WinUpdates ankommen sollen. Denn Webfilter/Ausnahmen funzt ja dann so nicht.

    Du hast im Proxy die Möglichkeit, den transparenten Proxy zu umgehen, dann greifen wieder die Firewallregeln. So kann du einen Host oder eine Gruppe herausnehmen.


    Ist es nicht besser bei den Firewallregeln anstatt "Internet IP4" "Uplink Primary Addresses" einzustellen? Worin ist hier der Unterschied?

    Nein, Internet IPv4 bezieht sich auf das aktive Standardgateway ins WAN. Also ist das schon korrekt (bitte nicht "ANY" nehmen).
    Wenn du den Verkehr steuern willst, dann musst du es über Maskerating machen, oder bei mehreren WAN Ports über Multipathing.
    Dazu gibt es auch einige Feature Requests, da ist der Wunsch, dies direkt über den Proxy auswählen zu können.


    Kleiner Zusatz:
    Wenn du erlaubten Firewallverkehr blockst, sind Verbindungen noch aktiv und bei nichtnutzung werden die dann aus dieser Tabelle entfernt und erst danach sind die wirklich geblockt.
    Es kann also sein, dass direkt nach dem blocken noch Verkehr funktioniert, allerdings für eine gewisse Zeit. Also entweder Conntrackt Table manuell löschen, UTM neu starten, oder warten.

    Nice greetings
Reply
  • 0
    Hi m_vetdoc

    Hallo Leute,
    irgendwie seh ich vor lauter Bäumen den Wald nicht mehr und brauch jetzt eure Hilfe. [:@]

    Wenn ich unter Firewall die Regel 
    195.159.3.50 --> WebSurfing --> Internet IP4
    abschalte aber der WebFilter (Transparent) mit 195.159.3.50 noch aktiv ist, hat die IP Zugang zum WAN.

    Schalte ich die Firewallregel ein und deaktiviere den WebFilter, ist der WAN-Zugang trotzdem möglich.

    Erst wenn ich Firewall und WebFilter abschalte gehts nicht mehr nach draussen.
    Ist das Richtig so, dass die Firewall den WebFilter umgeht und der WebFilter die Firewallregeln??

    Ja, der Proxy greift vor den Firewallregeln (siehe auch mein Zusatz, kann die Ursache für dein Problem sein). Aber die Regeln werden nicht umgangen.



    Betrifft das nur die Ports aus WebSurfing und alle anderen Ports sind für in/out gesperrt?

    Wie schon beschrieben, gillt dies nur für HTTP Verkehr und wenn du HTTPS Scanning aktiviert hast, auch für HTTPS.


    Ich war der Meinung, dass die Firewallregel immer als Erstes greift und festlegt, welche IP mit welchen Ports nach außen darf bzw. nicht darf. Der WebFilter dann erst die WebInhalte filtert.

    Nein, es wird direkt eine Freigabe erstellt, sobald der Proxy aktiviert wird und weitere Steuerung dann über den Proxy. Was ich persönlich sehr gut umgesetzt finde.


    Wie muss die UTM denn dann eingestellt werden, wenn eine IP keinen WAN-Zugang haben soll, aber trotzdem die WinUpdates ankommen sollen. Denn Webfilter/Ausnahmen funzt ja dann so nicht.

    Du hast im Proxy die Möglichkeit, den transparenten Proxy zu umgehen, dann greifen wieder die Firewallregeln. So kann du einen Host oder eine Gruppe herausnehmen.


    Ist es nicht besser bei den Firewallregeln anstatt "Internet IP4" "Uplink Primary Addresses" einzustellen? Worin ist hier der Unterschied?

    Nein, Internet IPv4 bezieht sich auf das aktive Standardgateway ins WAN. Also ist das schon korrekt (bitte nicht "ANY" nehmen).
    Wenn du den Verkehr steuern willst, dann musst du es über Maskerating machen, oder bei mehreren WAN Ports über Multipathing.
    Dazu gibt es auch einige Feature Requests, da ist der Wunsch, dies direkt über den Proxy auswählen zu können.


    Kleiner Zusatz:
    Wenn du erlaubten Firewallverkehr blockst, sind Verbindungen noch aktiv und bei nichtnutzung werden die dann aus dieser Tabelle entfernt und erst danach sind die wirklich geblockt.
    Es kann also sein, dass direkt nach dem blocken noch Verkehr funktioniert, allerdings für eine gewisse Zeit. Also entweder Conntrackt Table manuell löschen, UTM neu starten, oder warten.

    Nice greetings
Children
  • 0 in reply to GuyFawkes

    Wie schon beschrieben, gillt dies nur für HTTP Verkehr und wenn du HTTPS Scanning aktiviert hast, auch für HTTPS.

    Wie ich oben schon geschrieben habe, funzt das mit aktiviertem HTTPS bei mir nicht richtig. Keine Ahnung warum?? Vorschläge??


    Nein, es wird direkt eine Freigabe erstellt, sobald der Proxy aktiviert wird und weitere Steuerung dann über den Proxy. Was ich persönlich sehr gut umgesetzt finde.

    Die Freigabe ist aber über den WebAdmin nicht zu sehen oder?


    Du hast im Proxy die Möglichkeit, den transparenten Proxy zu umgehen, dann greifen wieder die Firewallregeln. So kann du einen Host oder eine Gruppe herausnehmen.

    Aber wie bitte? ohne transparenten Proxy aber rein Hostbezogen.


    Nein, Internet IPv4 bezieht sich auf das aktive Standardgateway ins WAN. Also ist das schon korrekt (bitte nicht "ANY" nehmen).
    Wenn du den Verkehr steuern willst, dann musst du es über Maskerating machen, oder bei mehreren WAN Ports über Multipathing.
    Dazu gibt es auch einige Feature Requests, da ist der Wunsch, dies direkt über den Proxy auswählen zu können.

    Ich hab 2 WAN Eingänge und falls einer mal offline ist, soll der Zweite einspringen. Den Verkehr will und muss ich nicht getrennt steuern.
    Nicht über ANY zu gehen ist klar, für was ist dann aber "Uplink Primary Addresses".


    Kleiner Zusatz:
    Wenn du erlaubten Firewallverkehr blockst, sind Verbindungen noch aktiv und bei nichtnutzung werden die dann aus dieser Tabelle entfernt und erst danach sind die wirklich geblockt.
    Es kann also sein, dass direkt nach dem blocken noch Verkehr funktioniert, allerdings für eine gewisse Zeit. Also entweder Conntrackt Table manuell löschen, UTM neu starten, oder warten.


    Erster Satz kann ich nur bestätigen, hab ich schon bemerkt. [:(]
    Wo find ich die Conntrackt Table, weil jedemal UTM neu starten macht keinen Sinn?
Cookie Information Banner