Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 4 subscribers
  • Views 8474 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnis / Funktionsweise UTM9

mauti4secure

Hallo,

es wäre nett wenn mir jemand bei den nachfolgenden Punkte ein paar Hinweise geben könnte.

1) Sophos Rulez 2#
Rulez#
Darin steht, dass Pakete in folgender Reihenfolge nur von einer Station abgearbeitet werden.
1 conntrack - 2 country blocking - 3 DNAT - 4 VPN - 5 Proxy - 6 manual routes - 7 manual firewall rules (automatic rules, manual rules).

Das "only by one" kann nicht stimmen, sonst müsste ich bei einer DNAT-Regel ja nicht noch eine Firewall-Regel anlegen.

2) NAT
In einigen Howtos, Blogs usw. steht immer wieder man soll nicht vergessen NAT zu konfigurieren bzw. einzuschalten. Das macht die UTM bei einem Default-Gateway zum Internet doch selber, oder?

3) Masquerading
In Rule #3.1 steht, dass man zu jedem Interface eine Masquerading-Regel anlegen soll. Wenn ich ein einziges Standardinterface zum Internet habe, muss ich das ja nicht tun. Das wird in PPOE auch nicht beschrieben. Wann benötige ich dann solch eine Masquerading-Regel? (Evtl. bei mehreren VLANs die Internetzugriff haben sollen?)

4) Inter VLAN Routing
Wenn ich mehrere VLANs habe die gegenseitig kein Zugriff haben sollen, lege ich einfach keinerlei Regeln an. Sollen die VLANs jedoch gegenseitig Zugriff haben, habe ich gelesen, dass ich das in der Firewall per Regel freigeben muss. Werden die Routing-Regeln für Inter VLAN Routing automatisch erstellt? Kann ich diese automatischen Routing-Regeln einsehen?

Ich hoffe das war jetzt nicht zu lang.

Vielen Dank



This thread was automatically locked due to age.
Parents
  • +1

    Hi,

    ich versuche mat zu helfen.

    1. handled only by one of the following ist etwas schwammig formuliert ...  one by one passt in vielen Fällen besser.

    Wobei Pakete, welcher der Proxy sich gegriffen hat nicht mehr durch die FireWall rules laufen.

    Die Auflisteung stellt aber eine sehr nützliche Aufführung der Abarbeitungsreihenfalge dar.

    2. Nat braucht man oft nicht. Es ist sicher meist die "Sonderfunktion" Masquerading gemeint. Die UTM macht das nicht selber. Nur der Start-Wizzard legt die Maskierungsregel automatisch an. (den nutze ich aber nicht)

    3. Nur wenn der nächste Router (vom Provider) maskiert, kann man sich das an der UTM sparen. (oder wenn man öffentliche IP's im LAN verwenden kann)
    Sonst gehen die Pakete mit Privaten Absenderadressen ins Internet und werden dort verworfen. (den Rückweg zu einer privaten IP kann ja keiner finden)
    hat man mehrere IPS's muss an mindestens einem Interface maskiert werden, damit die Interface-IP als Ziel für die Antwortpakete verwendet wird.

    4. - keine Regeln = kein zugriff: stimmt; passende regeln ermöglichen den zugriff: stimmt; Wenn Netze "direkt angeschlossen" sind, also Subnetze einer verbundenen IP sind, so stehen automatisch sie als "direct connected" oder "auf dem LINK" in der routingtabelle. das sieht folgender massen aus:

    192.168.2.0/24 dev eth1  proto kernel  scope link  src 192.168.2.111 

    das Netz 192.168.2.0/24 ist also über interface 192.168.2.111 zu erreichen.
    Die Routingtabelle ist unter Support / Advanced / Routing Table zu finden

     

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Vielen Dank, habe ich verstanden.

    dirkkotte said:

    3. Nur wenn der nächste Router (vom Provider) maskiert, kann man sich das an der UTM sparen. (oder wenn man öffentliche IP's im LAN verwenden kann)
    Sonst gehen die Pakete mit Privaten Absenderadressen ins Internet und werden dort verworfen. (den Rückweg zu einer privaten IP kann ja keiner finden)
    hat man mehrere IPS's muss an mindestens einem Interface maskiert werden, damit die Interface-IP als Ziel für die Antwortpakete verwendet wird.

     

    Ich habe mehrere ISPs (4, schlecht versorgt). Was wäre hier "best Practices"? Was passiert wenn ich mit >Uplink Interfaces< und >first Address< maskiere? Bedeutet das, dass ausgehende Verbindungen zwar auf alle 4 Leitungen verteilt werden aber der Rückkanal immer über eine Leitung stattfindet? Um die Leitungen möglichst gleichmäßig zu nutzen, müsste der Rückkanal immer über die öffentliche IP laufen über die auch die ausgehende Verbindung initiiert wurde. Ist es richtig, dass ich dann trotz vorhandenem >Uplink Interface< für jeden ISP eine separate Maskierungsregel auf dessen Interface anlege? Ich habe 6 VLANs und ein "normales" internes Netz. Somit müsste ich 28 Maskierungsregeln anlegen? Kann ich natürlich machen, aber das machen ja selbst billige Multi-WAN-Router automatisch.

    Danke nochmals für die Mühe

  • 0 in reply to mauti4secure

    wenn maskiert wird, (und nicht irgendetwas komplett daneben geht) kommen die pakete auf Antwortpakete dem Interface rein, welches die Verbindung initierte.

    Wenn die ausgehenden Anfragen sauber verteilt werden, kommen auch die Antworten über alle leitungen.

    Die Verteilung gewichte ich meist entsprechend der Bandbreite.

    Maskieren lässt sich auch mit netzwerkgruppen ("alle_meine_internen_netze") oder gar mit "any" wie es die "billige Multi-WAN-Router" machen.

    Das bedeutet dann "alles was das interfacve verlässt, wird maskiert".


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Guten Abend,

    ich muss nochmals nachfragen.

    Wenn ich vier ISPs habe, lege ich dann vier Maskierungsregeln an oder nur eine?

    Vielen Dank für die Geduld.

  • +1 in reply to mauti4secure

    Du würdest eine Masquerade Regel für jedes Quellnetz machen nach dem Schema:

    Internes Netzwerk  --> Uplink Interfaces (Auswahl: Primäre Interface Adresse)

    Die Gruppe Uplink Interfaces wird i.d.R. automatisch erstellt wenn du mehrere WAN Interfaces als default Gateway aktivierst. Dann sollte es sich so verhalten wie vorher beschrieben. Der Connection Tracker nimmt immer die primäre Interface Adresse der Verbindung über die der Traffic initiiert wird.

    Für jeden ISP würdest du nur anlegen wenn du z.b. bestimmte Teilnetze über eine andere öffentliche IP als die primäre Interface Adresse des jeweiligen WAN Interface leiten willst.  Willst du darüber hinaus einzelne hosts oder Protokolle z.b. über spezielle öffentliche IPS senden kannst du das mit SNAT&Multipath Regeln machen, zusätzlich zur Masquerade, quasi als Ausnahme. Masquerade und SNAT regelt mit welcher IP geht es raus, Multipath über welchen ISP/WAN Interface.

Reply
  • +1 in reply to mauti4secure

    Du würdest eine Masquerade Regel für jedes Quellnetz machen nach dem Schema:

    Internes Netzwerk  --> Uplink Interfaces (Auswahl: Primäre Interface Adresse)

    Die Gruppe Uplink Interfaces wird i.d.R. automatisch erstellt wenn du mehrere WAN Interfaces als default Gateway aktivierst. Dann sollte es sich so verhalten wie vorher beschrieben. Der Connection Tracker nimmt immer die primäre Interface Adresse der Verbindung über die der Traffic initiiert wird.

    Für jeden ISP würdest du nur anlegen wenn du z.b. bestimmte Teilnetze über eine andere öffentliche IP als die primäre Interface Adresse des jeweiligen WAN Interface leiten willst.  Willst du darüber hinaus einzelne hosts oder Protokolle z.b. über spezielle öffentliche IPS senden kannst du das mit SNAT&Multipath Regeln machen, zusätzlich zur Masquerade, quasi als Ausnahme. Masquerade und SNAT regelt mit welcher IP geht es raus, Multipath über welchen ISP/WAN Interface.

Children
No Data