Liebe Community,
ich bin noch relativ neu hier und durfte in der Vergangenheit bereits erste Erfahrungen mit der Installation von Sophos UTM Gateways sammeln.
Vor einiger Zeit habe ich das erste mal eine virtuelle Sophos installiert.
Das Kundenszenario sollte wie folgt aufgebau sein:
1x NIC Internes Netz
1x NIC DMZ/Gast/Kinder
1x NIC EXT/DSL/Modem INTERNET
Verfügbare Hardware war ein Primergy ESX mit zwei Onboard NICs und einer PCI Single NIC.
Die PCI Karte wurde zur Sophos VM durchgeschleift, um ggf. auch mal ein Modem mit PPPoE Einwahl daran zu betreiben.
Installation fertiggestellt, alles wunderbar. Von der Sophos wurden folgende Namen vergeben.
PCI NIC = eth0
Onboard 1 = eth1
Onboard 2 = eth2
eth0 = Internet/DSL
eth1 = Internal
eth2 = DMZ/Kids
Das Szenario wurde außerdem um folgende Anforderung erweitert:
Einige Devices (Drucker) aus dem internen Netz, sollen aus der DMZ erreichbar sein, also hab ich die entsprechenden Firewall-Regeln gesetzt und bin davon ausgegangen dass ich keine weiteren NAT bzw. Masquerading Regeln benötige, da das Routing zwischen zwei Interfaces von der Sophos automatisch gemacht wird.
Leider war es nicht möglich, von einem DMZ Client den Drucker aus dem Internen Netz anzusprechen, sondern erst nachdem ich eine Masquerading Regel "DMZ (Network) -> Internal" angelegt hatte. Daraufhin stand folgende Aussage im Raum:
Diese Regel sei eigentlich nicht nötig, wenn ich bei der Installation dafür gesorgt hätte dass eth0 das interne Netz darstellt. Und ich solle das zwingend ändern, da die Sophos das nicht "will, wenn ein anderes IF als eth0 das interne Netz darstellt"
Frage: Kann ich beeinflussen, welche Hardware welche eth-Nummer zugewiesen bekommt?
Bei der Installation wurde als "Web-Admin-Interface" eth0 gewählt.
Das ist jetzt das externe, nach einem Reboot steht auch die IP des externen Interfaces als anzusprechende IP in der Konsole. Erreichbar ist das Web-Admin Interface aber über jedes = ("any") Netz.
Macht eine Neuinstallation sinn? Brauche ich dann keine extra Masquerading Regel mehr?
Vielen Dank für eure Kommentare
LG
This thread was automatically locked due to age.
