Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 3905 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM DMZ und VLAN

DaPedda

Servus,

auf einem anderen Portal habe ich eine Verstandnisfrage bezüglich DMZ und VLAN gestellt. Ein Teil der Frage lautete:

FRAGE: "Eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt? Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?"

Der erste Teil der Frage wurde mit "korrekt" beantwortet, der zweite teil mit "Nein oder besser Jein" beantwortet.  Es wurde ausgeführt, das ich selber auf der Firewall definieren muss, ob ein ICMP Typ 0 und 8 (Echo Request/Reply = Ping) zugelassen oder blockiert wird.

Und hier kommt meine Frage an Euch: wenn ich das Interface DMZ aktiviere, wird da nicht automatisch eine Regel erstellt, welches u.a. auch ICMP einschränkt?

Und wenn man nun VLAN auf der DMZ (eth2) definiert, dann dürfte ein Client aus diesem VLAN niemals ein Client aus den internen Netz (eth0) sehen können... ist das korrekt so?

 

Gruß Peter



This thread was automatically locked due to age.
  • 0

    Hallo Peter,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The labels on the eth# are only to promote a culture of having the NICs used in the same way by everyone.  There is no "automatic" configuration except during the initial installation wizard where eth0 is assigned as the Internal interface and, optionally, eth1 as External.  Any NIC can be used for anything.

    WebAdmin creates routes for the subnets defined on the interfaces, but you must create the firewall rules that allow traffic to pass as everything is blocked by default.  When you activate a Proxy, there are firewall rules that WebAdmin creates automatically - see #2 in Rulz.

    Pinging can be allowed on the 'ICMP' tab of 'Firewall'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Hi Peter,

    wenn du das Interface "DMZ" aktivierst und sonst nichts weiter konfigurierst sollte der Verkehr in die Default-Action "block alles" der Netzwork-Security laufen.

    Es gilt das Prinzip "alles wird geblockt was nicht explizit erlaubt wird" bzw. "First Match Wins"...

    Allerdings kannst du ICMP-Echos etc. Global zulassen.

    Zur DMZ: Der erste Teil der Beschreibung ist soweit korrekt. Allerdings musst du selbst definieren was aus der DMZ ins interne Netzwerk soll und was nicht. Es muss deinen Anforderungen entsprechen...Natürlich sollte man dort auch wieder nach dem Prinzip "nur die Ports öffnen die unbedingt gebraucht werden - alles andere wird geblockt" vorgehen.

    In unserer DMZ steht z.B. ein Webserver der verschiedene Web-Applikationen hostet - dazu zählt auch eine OwnCloud-Installation. Die Authentifizierung erfolgt durch die interne Active-Directory. So muss der DMZ-Server über den LDAP-SSL-Port die Domänencontroller nach den Benutzerdaten fragen können.

    In die andere Richtung muss das interne Monitoring-System den DMZ-Server über die benötigten Ports erreichen können.

    Eine gewisse Kommunikation zwischen den Netzen war also bei uns definitiv notwendig!

    Gruß