NMAP Scan sieht PC in anderem VLAN

Was für Switches mit welcher VLAN Konfig?
Welche Regeln verbinden die VLANs über die UTM?
Ist die UTM Default gw für die VLANs?

Sind irgendwelche proxies an - im Besonderen der http proxy?

Hallo zusammen


Ja die Astaro ist Default Gateway für alle VLAN's.

Die eingesetzten Switche sind HP Procurve Layer 2 Switche (4208 vl und 2848). Der jeweilige UPlink Port ist tagged und die Kupferports sind dann untagged ins jeweilige VLAN. 

Es sind kleinerlei Proxies eingerichtet.
Die Kommunikation von VLAN zu VLAN erfolgt durch Regeln im Paketfilter der Firewall.
Zur Zeit sieht die Regel so aus das
VLAN A -> Internet IPv4 allow
VLAN A -> Internal deny

VLAn B genauso.

Definierst Du bitte "das NMAP im VLAN A die Rechner im VLAN B sieht. Ein IPscan aus VLAN A zeigt allerdings nichts an"?

Welche Regeln gibt es, die den Traffic aus "VLAN A" UND / ODER in das "VLAN B" regeln?
Welche Interfacedefinitionen gibt es für die VLANs auf der UTM?

Komplexer könnte ich noch fragen, an welchen Port NMAP und an welchen Port IPSCAN hingen etc. etc. etc. etc. etc. etc.

Hallo K.N.

Erstmal vielen Dank für deine Unterstützung.

Einen IP Scan mache ich mit dem Prog. Advanced IPScanner aus dem 
VLAN A (192.168.0.x) in das VLAN B (192.168.2.x).

Das Ergebnis ist das keine Hosts aktiv sind.

Mache ich einen SCAN mit nmap und dem Befehl

 nmap -T4 -A -v 192.168.2.*

bekomme ich das Ergebnis das Hosts UP sind
z.B.
192.168.2.2 is up
All 1000 scanned Ports on 192.168.2.2 are filtered
Traceroute über 80/tcp
1  192.168.0.254 (IP der Astaro im VLAN A)
2  192.168.2.2

Es gibt für diese beiden VLAN's keine Regeln die eine Kommunikation untereinander erlauben, sie sollten sich gar nicht sehen.

Alle VLAN's sind auf eth2 der Astaro programmiert. Die Astaro hat in jedem VLAN die .254 und stellt einen DHCP Server bereit (im jeweiligen VLAN)
Das Internet ist an eth0 angeschlossen mit festen IPv4 IP's.

IPSCAN und NMAP laufen auf dem gleichen Rechner = an dem gleichen Switchport.

Helfe dir diese Informationen weiter ?

Hm, klingt seltsam. Hast du ggf. in den ICMP Einstellungen (Network Protection -> Firewall -> ICMP) ein paar Häkchen zuviel drin?

Gruß
Manfred

Hallo Manfred

Im besagten Bereich Bereich ist lediglich der Hacken bei 

" ICMP-Umleitungen protokollieren gesetzt "

Viele Grüße

Ich würde hier tatsächlich auf die Konfiguration der UTM oder des Switches vermuten. Das Troubleshooting düfte den Rahmen des Forums sprengen.

- Konfiguration und Regeln der UTM auf / für ICMP & Co prüfen
- Regelwerk auf Logging und parallel tcpdumps auf den Interfaces für den Scan 
- Switch auf mehrfach untagged VLANs prüfen, VLAN Interfaces einrichten und Scan darauf starten

etc. etc.

Hallo zusammen

Ich habe nun folgendes erstellt um das gnaze etwas einzugrenzen.

Ich habe auf den Astaro Port eth5 und eth6 ganz neue Netz erstellt die bisher nie in Betrieb waren. Die Ports wurden bisher auch nicht genutzt.

Auf eth5 gibt es das Netz
192.168.222.0/24
Astaro IP ist 192.168.222.254

Auf eth6 gibt es das Netz
192.168.223.0/24
Astaro IP ist 192.168.223.254

Die Astaro stellt in jedem Netz einen DHCP mit je 10 IP's zur Verfügung.

Es gibt keine Regeln!
Es gibt hier kein VLAN'S oder eine Verbindung in die Switch Welt.

Die Clients (Windows PC) hängen direkt an der Astaro.

Ein Ping von den Clients über die Netzwerkports eth5 und eth6 geht nicht.
Internetzugriff o.ä. geht auch nicht. So gesehen alles PRIMA.

Wenn ich auf dem Client PC auf eth5 einen Scan mit Hilfe des Prog. Zenmap
laufen lasse kann ich im Paketfilter der Astaro sehen das die Paket von eth5 zu eth6 abgelehnt werden, dennoch kann ich mit Hilfe von Zenmap sehen das 2 IP's auf eth6 benutzt werden (1x Astaro IP und einmal der Client PC).

Es wäre mir sehr geholfen wenn vielleicht jemand ein solches Szenario nachbilden kann und mir sagt ob dieses Verhalten reproduzierbar ist.

Vielen Dank

Was genau ist auf der UTM unter Network Protection - ICMP konfiguriert?