WebProtection - BUG? - VLAN / LAN Zugriff untereinander möglich zu unterbinden?

Question

Hallo zusammen, 
 
 ich habe hier privat eine Sophos UTM im Einsatz. 
 Folgende Netzwerke sind definiert / vorhanden: 
 - external (WAN; eth0) 
 - internal (eigenes LAN; eth4; 172.16.0.0/16) 
 - guest (Test / Guest LAN; eth1; 192.168.69.0/24) 
 - guest-wlan1 (G&auml;ste WLAN; wlan1 (separate zone); 192.168.88.0/24) 
 - guest-wlan2 (G&auml;ste WLAN mit Captive-Portal, offen / nicht verschluesselt; wlan2 (separate zone); 192.168.89.0/24) 
 - mgmt (only Management, falls mal was schief geht und ich aus dem internal nicht mehr auf die UTM kommen sollte; eth3) 
 
 Fuer internal, guest, guest-wlan1, guest-wlan2 ist die WebProtection aktiviert, jedes Netzwerk hat sein eigenes Profil mit eigenen Policies. 
 
 Jetzt ist es ab diesem Punkt aber moeglich, dass die Netzwerke indirekt miteinander sprechen koennen, d.h. ich kann z.B. aus dem "guest" via Port 80,443,53 auf IP Adressen aus dem "Internal" zugreifen, das ist insofern problematisch, da keiner aus den Gaestenetzen z.B. auf die zwei managebaren Switche zugreifen koennen soll (wozu auch?) oder z.B. auf den "Test-Server", den ich fuer die Arbeit und private Tests am laufen habe. 
 
 Ich habe nun den Zugriff auf die Switche insofern unterbunden, indem ich die einzelnen IPs als "geblockt" in die Policies hinterlegt habe. 
 
 Gibt es hier eine "sauberere" und einfachere Methode, um den Zugriff auf das komplette Subnetz / Netzwerk zu unterbinden, anstatt jede IP einzeln in die jeweiligen Policies zu pruegeln? 
 Manuell erstellte Firewall-Regeln greifen hier nicht, da die WebProtection diese wohl aushebelt. 
 
 Ich vermute, dass das hier kein "Feature" ist, sondern ein Bug / Fehler!? 
 
 Vielen Dank vorab und Gruesse! 
 Andy.

mod2402 · Answer

Hallo zusammen, 
 das mit dem Port 8080 ist ein wichtiger und n&uuml;tzlicher Hinweis von Tobias. Das einrichten einer DNAT Regel ist eine M&ouml;glichkeit. Damit kann ich aber den Standard Proxy gar nicht mehr verwenden. Es kann aber vorkommen das beides nutzbar sein muss. Hier nun die von mir empfohlenen Vorgehensweise um WLAN G&auml;sten den Zugriff auf interne Web Resourcen zu verweigern. 
 Die Transparentmodus Ausnahme ist ja schon beschrieben worden. Der Hinweis mit Port 8080 ist vollkommen korrekt. Die beste L&ouml;sung um solche Zugriffe zu verhindern ist folgende: 
 Unter Web Protection / Filter Options / Websites eine neue Site erstellen. In dem Feld den internen Adress Bereich eintragen (z.B. 192.168.0.0/16) und zus. den oder die internen Domains eintragen (z.B. home.local). Hier kann ich nun diese Bereiche einer Kategorie zuordnen, eine Reputation zuordnen oder einfach einen Tag erstellen. Ich arbeite hier mit einem Tag. Unten einen neuen Tag (z.B. Interne Netze) erstellen und speichern. 
 Jetzt muss nur noch in der Filter Action f&uuml;r das WLAN G&auml;ste Proxy Profil dieses Tag unter websites unten eingetragen werden und die Option "Block" ausgw&auml;hlt werden. Damit hat der WLAN Gast keine Chance mehr an interne Ressourcen zu gelangen. Das funktioniert einwandfrei und ich kann trotzdem f&uuml;r Ausnahmef&auml;lle den Standardproxy mit notwendigen Ausnahmen verwenden. 
 vg 
 mod

WebProtection -> BUG? -> VLAN / LAN Zugriff untereinander möglich zu unterbinden?