Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internetzugriff von Netzsegment bzw. VLAN blockieren

Nick425
Hallo zusammen,

ich möchte auf der Astaro 425 ein komplettes VLAN (Netzsegment) blockieren, so dass aus diesem kein Zugriff mehr ins Internet möglich ist. Ich wollte das in der Einstellung "Definitions & Users" -> "Network Definitions" einrichten. Dort kann ich zwar ein Netzsegment auswählen, aber es gibt keine Einstellung die mir ermöglicht, diese Ressource zu blockieren. 

Kann mir hier jemand weiterhelfen, wo finde ich diese Einstellung?

Danke und viele Grüße


This thread was automatically locked due to age.
  • 0
    Hi Nick425, herzlich willkommen im Forum.

    Hast du dieses Netz als Schnittstelle an der UTM?
    Wenn ja, dann sind die Definitionen schon da, wenn nicht, musst du diese dort anlegen.

    Einmal musst du unter Web Protection - Allgemein schauen und dort darf das Netz nicht drin sein bzw.  Web Protection - Allgemein - Erweitert Transparenzmodus-Ausnahmen. Dann wird die Firewall genutzt.

    Wenn du nicht 
    Allow: ANY-ANY-ANY dort stehen hast, dann können die natürlich noch ins Internet.

    Also in der Firewall sollte dann stehen:

    Allow: Internal LAN (Network) - ANY - Internet IPv4
    Deny: VLAN x (Network) - ANY - Internet IPv4 (vielleicht das logging dazu aktivieren)

    Nice greetings
  • 0 in reply to GuyFawkes
    Hi Nick425, herzlich willkommen im Forum.

    Hast du dieses Netz als Schnittstelle an der UTM?
    Wenn ja, dann sind die Definitionen schon da, wenn nicht, musst du diese dort anlegen.

    Einmal musst du unter Web Protection - Allgemein schauen und dort darf das Netz nicht drin sein bzw.  Web Protection - Allgemein - Erweitert Transparenzmodus-Ausnahmen. Dann wird die Firewall genutzt.

    Wenn du nicht 
    Allow: ANY-ANY-ANY dort stehen hast, dann können die natürlich noch ins Internet.

    Also in der Firewall sollte dann stehen:

    Allow: Internal LAN (Network) - ANY - Internet IPv4
    Deny: VLAN x (Network) - ANY - Internet IPv4 (vielleicht das logging dazu aktivieren)

    Nice greetings


    Hallo GuyFawkes,

    vielen Dank für die schnelle Antwort. Wenn ich dich richtig verstehe, dann darf unter "Web Protection - Allgemein - Erweitert" keine Ausnahme für das Netz in der "Transparent mode skiplist" hinterlegt sein. Alle weiteren Einstellungen die du anschließend bezüglich der Firewall beschrieben hast betreffen dann die "Firewall" Einstellung unter "Network Protection" -> "Firewall" in der Astaro Weboberfläche oder meinst du damit dass diese Einstellung in der dedizierten "Firewall" hinterlegt werden müssen? Demnach muss das Netz im Astaro Proxy dann gar nicht separat geblockt werden?

    viele Grüße
  • 0
    Also wenn in der Web Protection, unter erlaubten Netzwerken das VLAN x drin ist, dann greift der Proxy und du kannst in der Firewall alles verbieten, Port 80 wird dann immer noch funktionieren. Daher kann man es im Proxy gar nicht erst aufführen und dann steuerst du es über die Network Protection (Firewall).

    Demnach muss das Netz im Astaro Proxy dann gar nicht separat geblockt werden?

    Wenn du das VLAN x nicht aufführst, dann wird es automatisch geblockt. Um deine Frage zu beantworten, nein, es muss nicht separat geblockt werden.

    Nice greetings
  • 0 in reply to GuyFawkes
    Also wenn in der Web Protection, unter erlaubten Netzwerken das VLAN x drin ist, dann greift der Proxy und du kannst in der Firewall alles verbieten, Port 80 wird dann immer noch funktionieren. Daher kann man es im Proxy gar nicht erst aufführen und dann steuerst du es über die Network Protection (Firewall).


    Wenn du das VLAN x nicht aufführst, dann wird es automatisch geblockt. Um deine Frage zu beantworten, nein, es muss nicht separat geblockt werden.

    Nice greetings


    Hi,

    dann nochmal in eigenen Worten. Die Regel des Proxy zieht immer vor der Firewall. Wenn ich im Proxy das Netz also freischalte ist es egal, ob ich es in der Firewall Protection verbiete oder nicht. Wenn ich das Netz im Proxy nicht verbiete, kann ich es über die Firewall Protection verbieten. Die Regel in der Firewall Protection setzt sich wie folgt zusammen:

    Source (Vlan) - Services (http Port 80) - Destination (any)

    kommt das so hin?

    Vielen Dank auf dem Weg nochmal für deine Unterstützung.

    viele Grüße
  • 0 in reply to Nick425
    Hi,

    dann nochmal in eigenen Worten. Die Regel des Proxy zieht immer vor der Firewall. Wenn ich im Proxy das Netz also freischalte ist es egal, ob ich es in der Firewall Protection verbiete oder nicht. Wenn ich das Netz im Proxy nicht verbiete, kann ich es über die Firewall Protection verbieten. Die Regel in der Firewall Protection setzt sich wie folgt zusammen:

    Source (Vlan) - Services (http Port 80) - Destination (any)

    kommt das so hin?

    Vielen Dank auf dem Weg nochmal für deine Unterstützung.

    viele Grüße


    Korrekt, 
    nur ein Satz muss angepasst werden: wenn du das Netz im Proxy nicht zulässt, kannst du es über die Firewall verbieten.

    - kleiner Hinweis noch, nutze als Destination lieber "Internet IPv4" wenn du damit "Internet" meinst, ANY heißt Zugriff in JEDES LAN, was du nutzt.

    Also, wenn du nicht möchtest, dass das VLAN irgendwie ins Netz kommt (DNS, HTTPS, FTP etc.), dann erstell diese Regel

    Deny: VLAN x - ANY - Internet IPv4

    Nice greetings
  • 0 in reply to GuyFawkes
    Korrekt, 
    nur ein Satz muss angepasst werden: wenn du das Netz im Proxy nicht zulässt, kannst du es über die Firewall verbieten.

    - kleiner Hinweis noch, nutze als Destination lieber "Internet IPv4" wenn du damit "Internet" meinst, ANY heißt Zugriff in JEDES LAN, was du nutzt.

    Also, wenn du nicht möchtest, dass das VLAN irgendwie ins Netz kommt (DNS, HTTPS, FTP etc.), dann erstell diese Regel

    Deny: VLAN x - ANY - Internet IPv4

    Nice greetings


    super Danke!
Cookie Information Banner