Hallo zusammen,
ich habe hier privat eine Sophos UTM im Einsatz.
Folgende Netzwerke sind definiert / vorhanden:
- external (WAN; eth0)
- internal (eigenes LAN; eth4; 172.16.0.0/16)
- guest (Test / Guest LAN; eth1; 192.168.69.0/24)
- guest-wlan1 (Gäste WLAN; wlan1 (separate zone); 192.168.88.0/24)
- guest-wlan2 (Gäste WLAN mit Captive-Portal, offen / nicht verschluesselt; wlan2 (separate zone); 192.168.89.0/24)
- mgmt (only Management, falls mal was schief geht und ich aus dem internal nicht mehr auf die UTM kommen sollte; eth3)
Fuer internal, guest, guest-wlan1, guest-wlan2 ist die WebProtection aktiviert, jedes Netzwerk hat sein eigenes Profil mit eigenen Policies.
Jetzt ist es ab diesem Punkt aber moeglich, dass die Netzwerke indirekt miteinander sprechen koennen, d.h. ich kann z.B. aus dem "guest" via Port 80,443,53 auf IP Adressen aus dem "Internal" zugreifen, das ist insofern problematisch, da keiner aus den Gaestenetzen z.B. auf die zwei managebaren Switche zugreifen koennen soll (wozu auch?) oder z.B. auf den "Test-Server", den ich fuer die Arbeit und private Tests am laufen habe.
Ich habe nun den Zugriff auf die Switche insofern unterbunden, indem ich die einzelnen IPs als "geblockt" in die Policies hinterlegt habe.
Gibt es hier eine "sauberere" und einfachere Methode, um den Zugriff auf das komplette Subnetz / Netzwerk zu unterbinden, anstatt jede IP einzeln in die jeweiligen Policies zu pruegeln?
Manuell erstellte Firewall-Regeln greifen hier nicht, da die WebProtection diese wohl aushebelt.
Ich vermute, dass das hier kein "Feature" ist, sondern ein Bug / Fehler!?
Vielen Dank vorab und Gruesse!
Andy.
This thread was automatically locked due to age.
