Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 5240 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

öffentliches Netz hinter UTM für Webserver

mathias@battern.eu
Hallo an alle,

ich habe ein öffentliches IP-Netz an der UTM anliegen. Wie kann ich Webserver hinter der UMT betreiben, dass ich diese über die Firewall der UMT schützen kann? Wie muss ich die Schnittstellen anlegen und welche IP-Adressen muss ich den Interface geben?

Vielen dank schon mal für eure Antworten..

Grüße

Mathias


This thread was automatically locked due to age.
  • 0
    Hi Mathias,  

    dies kannst Du über die Web Application Firewall machen.  

    Schau dir diesen Abschnitt im Manual mal an.  

    Das Interface muss dann Dein External sein.  

    Viele Grüße.
  • 0 in reply to 5star2k15
    Hi und danke für deine Antwort. Ich werde mal in Handbuch nachlesen.

    [:)]

    Grüße

    Mathias
  • 0 in reply to mathias@battern.eu
    Hi,

    habe mir das Handbuch mal durchgelesen. Leider habe ich dazu nix gefunden, wie ich ein öffentliches Netz anbinden und dazu einenWebserver mit öffentlicher IP hinter UTM veröffentlichen kann. Gibt es dazu irgendwo Hilfe, wie ich das einrichten muss? Hat das was mit ARP-Proxy zutun?
  • 0
    Du musst es mir mal nochmal detaillierter erklären.

    Du hast eine feste öffentliche IP am External Interface?

    Du möchtest einen internen Webserver über die WAF veröffentlichen?

    Dann musst du einen Physikalischen Webserver anlegen und danach einen virtuellen. Im virtuellen Webserver wählst du deine Uplink Interface sprich dein External aus.

    Feinheiten kannst du nach erfolgreichem Testen einstellen (FW Profil, Exceptions usw).
  • 0 in reply to 5star2k15
    Hallo,

    ich habe eine ein öffentliches IP-Netz /28. Daraus hat im Moment ein Linux-Server eine öffentliche IP-Adresse. Dieser Server ist momentan direkt am Router angeschlossen und hat dadurch keinen Schutz durch die UTM/Sophos. Dieses Webserver möchte ich jetzt gern durch die Sicherheit der UTM schützen und ich dachte dies geht durch ARP-Proxy oder irre mich da? Leider habe ich keine Ahnung, wie man diese auf der UTM einrichtet.

    Grüße

    Mathias
  • 0
    Ne, Proxy-ARP ist, um MAC-Adressen aus einem anderen Netz aufzulösen.

    Wenn dir dein Provider nur ein /28-Netz  direkt am Anschluss zuweist, kannst du das nicht hinter der UTM nutzen. Es müsste ein geroutetes Netz sein.

    Du kannst aber eine DMZ mit privaten Adressen erstellen und dann am externen Interface sog. Additional Addresses aus deinem öffentlichen IP-Bereich hinzufügen.
    Die kannst du dann an der Web Application Firewall verwenden...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    HI und danke für deine Antwort. Ich möchte ja nicht das ganze Netz hinter der UTM nutzen nur, sondern nur ein paar IP aus dem Netzbereich. Möchte dadurch nur die Webserver durch die Firewall der UTM schützen.
  • 0
    Wie gesagt:
    Webserver in eine DMZ mit privaten IPs packen, dann die öffentlichen IPs als Additional IPs (/32!) an der UTM einrichten, anschließend die WAF einrichten mit der entsprechenden Additional IP als virtueller Webserver und dein Webserver in der DMZ als realer.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Danke schon mal für deine Antwort [:)] Gibt es aber auch eine Möglichkeit, den Webserver mit seiner öffentlichen IP hinter der UTM zu betreiben?
  • 0 in reply to mathias@battern.eu
    Danke schon mal für deine Antwort [:)] Gibt es aber auch eine Möglichkeit, den Webserver mit seiner öffentlichen IP hinter der UTM zu betreiben?


    Hi Mathias,

    grundsätzlich würde ich das auch so machen wie scorpionking das vorschlägt. Hat auch den Vorteil das du soviel IPs verwenden kannst wie du möchtest.

    Öffentliche IPs in der DMZ gehen aber auch. Du müsstest das /28 Netz in zwei /29 Netze splitten. Dann kannst du eins davon für die DMZ verwenden.

    vg
    mod
Cookie Information Banner