This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM DMZ und VLAN

Servus,

auf einem anderen Portal habe ich eine Verstandnisfrage bezüglich DMZ und VLAN gestellt. Ein Teil der Frage lautete:

FRAGE: "Eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt? Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?"

Der erste Teil der Frage wurde mit "korrekt" beantwortet, der zweite teil mit "Nein oder besser Jein" beantwortet.  Es wurde ausgeführt, das ich selber auf der Firewall definieren muss, ob ein ICMP Typ 0 und 8 (Echo Request/Reply = Ping) zugelassen oder blockiert wird.

Und hier kommt meine Frage an Euch: wenn ich das Interface DMZ aktiviere, wird da nicht automatisch eine Regel erstellt, welches u.a. auch ICMP einschränkt?

Und wenn man nun VLAN auf der DMZ (eth2) definiert, dann dürfte ein Client aus diesem VLAN niemals ein Client aus den internen Netz (eth0) sehen können... ist das korrekt so?

 

Gruß Peter



This thread was automatically locked due to age.
Parents
  • Hallo Peter,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The labels on the eth# are only to promote a culture of having the NICs used in the same way by everyone.  There is no "automatic" configuration except during the initial installation wizard where eth0 is assigned as the Internal interface and, optionally, eth1 as External.  Any NIC can be used for anything.

    WebAdmin creates routes for the subnets defined on the interfaces, but you must create the firewall rules that allow traffic to pass as everything is blocked by default.  When you activate a Proxy, there are firewall rules that WebAdmin creates automatically - see #2 in Rulz.

    Pinging can be allowed on the 'ICMP' tab of 'Firewall'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo Peter,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    The labels on the eth# are only to promote a culture of having the NICs used in the same way by everyone.  There is no "automatic" configuration except during the initial installation wizard where eth0 is assigned as the Internal interface and, optionally, eth1 as External.  Any NIC can be used for anything.

    WebAdmin creates routes for the subnets defined on the interfaces, but you must create the firewall rules that allow traffic to pass as everything is blocked by default.  When you activate a Proxy, there are firewall rules that WebAdmin creates automatically - see #2 in Rulz.

    Pinging can be allowed on the 'ICMP' tab of 'Firewall'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data