Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 7952 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit DMZ

Manuel Weingart

Hallo Zusammen

Wir müssen in der Schule als Übung für die Abschlussarbeit ein komplettes Netzwerk erstellen.

Netzwerklayout:

Als Firewall setzen wir Sophos UTM ein.

Folgende Konfig soll Firewalltechnisch laufen:

- LAN darf alles ins WAN

- DMZ darf alles ins WAN

- LAN darf alles in die DMZ

- DMZ dürfen einzelne Ports ins LAN (Der Webserver braucht Zugriff auf den DB-Server, haben wir noch nicht konfiguriert).

 

Wir haben nun folgende Probleme:

Ich kann vom Webserver ins LAN pingen, selbst wenn ich eine Firewall regel an oberster Stelle konfiguriere, welche den KOMPLETTEN Netzwerkverkehr von der DMZ ins LAN blockiert.

Ich kann von keinem Netz DNS Lookups machen, obwohl DNS-Forwarders für beide Netze eingerichtet sind (Ping auf z.B. 8.8.8.8 ist aber aus allen Netzen möglich).

 Folgende FW-Regeln sind aktiv:

Folgende Masquerading-Regeln sind aktiv:

Folgende DNS-Einstellungen haben wir konfiguriert:

 

Wir haben die Firewall bereits neu aufgesetzt.

Hinzufügen kann ich vielleicht noch, dass wir das Projekt in VM-Ware Player durchführen und für LAN und DMZ je ein eigenes VMNet verwenden.

 

Weiss vielleicht jemand, wo das Problem liegen könnte?

Danke im Voraus

Gruss

Manuel



This thread was automatically locked due to age.
  • 0

    Hallo Manuel,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Welcome to the UTM Community!

    The UTM is a stateful firewall that, by default, lets nothing pass, so firewall rule 1 is redundant.  In rule 2, replace "External (WAN) (Network)" with "Any."  In rule 3, replace it with the "Internet" object.  These last two changes will solve your DNS lookup problem.

    Pinging is regulated on the 'ICMP' tab of 'Firewall'.  The "Any" Service object only includes TCP and UDP, not pinging or other ICMP messages.  If you wish to make your own firewall rules to allow some pinging, you must de-select 'Firewall forwards pings' for your rules to be considered. You could then add "Ping" to "Any" in rules 2 and 3.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob

    Vielen Dank für die Antwort. Damit hat es funktioniert.

    Allerdings habe ich gleich das nächste Problem:

     

    Es soll möglich sein, dass ein NSLOOKUP vom WAN ins LAN weitergeleitet wird.

    Konkret: Ein Client im WAN benutzt als DNS Server 192.168.102.31, also die WAN-Adresse unserer Firewall. Die DNS-Anfrage soll von der UTM weitergeleitet werden an 172.16.1.11, also unser interner DNS Server.

    Dies ist die NAT-Konfiguration:

    Soweit ich das verstehe, ist nun folgendes erlaubt:

    Eingehende DNS-Anfragen (Also Port 53) werden weitergeleitet an unseren DNS-Server.

    Ich kann aber nichts auflösen.

     

    Habe ich etwas übersehen?

     

    Danke und Gruss

    Manuel

  • 0 in reply to Manuel Weingart

    wenn du auf dem wan client mal ein cmd-fenster aufmachst und nslookup eingibst was kommt dann?

    ebenso im nsllookup dann mal mit "server 172.16.1.11" den dns-server einstellen und etwas abfragen.

    PS: echt schlechtes Beispiel das grade DNS nach innen weitergeleitet wird... hier wäre es eher angebracht einen Webserver zu nehmen... hat mehr Praxisbezug... und das könnte dann noch um die WAF-Komponente erweitert werden für die Profis ;-)

    Sag das mal deinem Lehrer :-)

     

     

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...