28.07.2025
342
4
0Lancom Rohde Schwarz Firewall LAN Firewall-Regel
Hallo
ich habe eine Lancom Rohde&Schwarz Firewall (UF-360), ich habe zwei Desktop-IP-Bereiche angelegt, vom Range 10.172.66.20-40 (Interne Geräte) und am Range 10.172.66.100-10.172.66.200 (Allgemeine Geräte, Gast-WLAN, etc.). Ich habe eine Desktop-Verbindung zwischen beiden Bereichen aufgebaut, die Regel Any-Dienste mit dem Verbot-Zeichen aktiviert zwischen beiden IP-Bereichen. Anschließend hab ich die Desktop-Regel aktiviert, jedoch kann man noch immer zwischen den beiden Bereichen zugreifen.
Warum funktioniert die Firewall-Regel nicht?
ich habe eine Lancom Rohde&Schwarz Firewall (UF-360), ich habe zwei Desktop-IP-Bereiche angelegt, vom Range 10.172.66.20-40 (Interne Geräte) und am Range 10.172.66.100-10.172.66.200 (Allgemeine Geräte, Gast-WLAN, etc.). Ich habe eine Desktop-Verbindung zwischen beiden Bereichen aufgebaut, die Regel Any-Dienste mit dem Verbot-Zeichen aktiviert zwischen beiden IP-Bereichen. Anschließend hab ich die Desktop-Regel aktiviert, jedoch kann man noch immer zwischen den beiden Bereichen zugreifen.
Warum funktioniert die Firewall-Regel nicht?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 674040
Url: https://administrator.de/forum/lancom-firewall-ip-bereiche-desktop-674040.html
Ausgedruckt am: 28.07.2025 um 14:07 Uhr
4 Kommentare
Neuester Kommentar
Zeig mal ein paar Screenshots mit den Einstellungen.
1
Schick mal gerne die Screenshots von den Einstellungen.
Aus dem stehgreif vermute ich, dass die Subnetzmaske jeweils zu "groß" ist und die beiden Netze sich aus der Sicht im selben Bereich befinden und damit quasi die Regel gar nicht ist benötigt wird.
Wenn dem so ist, dann gerne mal mit dem OSI-Schichtenmodel vertraut machen.
Aus dem stehgreif vermute ich, dass die Subnetzmaske jeweils zu "groß" ist und die beiden Netze sich aus der Sicht im selben Bereich befinden und damit quasi die Regel gar nicht ist benötigt wird.
Wenn dem so ist, dann gerne mal mit dem OSI-Schichtenmodel vertraut machen.
1
Moin,
in dieser Konfig funktioniert das nur, wenn der Traffic dabei auch über die Firewall muss. Solange das auf dem Switch bleibt (Layer-2), wird das nicht klappen.
Besser: Separate VLANs anlegen und die über die Firewall routen. Da kannst Du dann auch ganz granular einstellen, was geht und was nicht.
Gruß
Looser
in dieser Konfig funktioniert das nur, wenn der Traffic dabei auch über die Firewall muss. Solange das auf dem Switch bleibt (Layer-2), wird das nicht klappen.
Besser: Separate VLANs anlegen und die über die Firewall routen. Da kannst Du dann auch ganz granular einstellen, was geht und was nicht.
Gruß
Looser
Moin,
Das vermute ich auch. Die Firewall greift ja nur, wenn die Datenpaket die Firewall passieren müssen. Das ist nur der Fall, wenn diese geroutet werden müssen.
Für die Lösung musst du zwei Netze etablieren:
mit Subnetting kommst du nur mit einer 24er Maske auf einen Nutzbaren Bereich 100-200 - schließt sich aber aus, wenn du Regeln zwischen den netzen nutzen willst.
Du kannst höchsten noch weiter einschränken:
Und je Netz dann entweder mit VLANs arbeiten oder, wenn die FW ausreichend verwaltbare Interfaces hat, jedem Interface ein anderes Netz zuweisen und an die Interfaces eigenständige Switche hängen. ICH würde da aber mit VLANs arbeiten - sofern die übrige Hardware mitspielt.
Aus dem stehgreif vermute ich, dass die Subnetzmaske jeweils zu "groß" ist und die beiden Netze sich aus der Sicht im selben Bereich befinden und damit quasi die Regel gar nicht ist benötigt wird.
Das vermute ich auch. Die Firewall greift ja nur, wenn die Datenpaket die Firewall passieren müssen. Das ist nur der Fall, wenn diese geroutet werden müssen.
Für die Lösung musst du zwei Netze etablieren:
- Netz 1 (Intern): 10.172.66.0 /26 (255.255.255.64)
- Netzadresse: 10.172.66.0
- Broadcast-Adresse: 10.172.66.63
- Nutzbarer Adressbereich: 10.172.66.1 - 10.172.66.62
- Netz 2 (Allgemeine Geräte, Gast-WLAN, etc.): 10.172.66.0 /25 (255.255.255.128)
- Netzadresse: 10.172.66.128
- Broadcast-Adresse: 10.172.66.255
- Nutzbarer Adressbereich: 10.172.66.129 - 10.172.66.254
mit Subnetting kommst du nur mit einer 24er Maske auf einen Nutzbaren Bereich 100-200 - schließt sich aber aus, wenn du Regeln zwischen den netzen nutzen willst.
Du kannst höchsten noch weiter einschränken:
- Netz 3 (Allgemeine Geräte): 10.172.66.64 /26 (255.255.255.64)
- Netzadresse: 10.172.66.64
- Broadcast-Adresse: 10.172.66.127
- Nutzbarer Adressbereich: 10.172.66.129 - 10.172.66.126
- Netz 4 (Gäste): 10.172.66.128 /26 (255.255.255.64)
- Netzadresse: 10.172.66.128
- Broadcast-Adresse: 10.172.66.192
- Nutzbarer Adressbereich: 10.172.66.129 - 10.172.66.191
Und je Netz dann entweder mit VLANs arbeiten oder, wenn die FW ausreichend verwaltbare Interfaces hat, jedem Interface ein anderes Netz zuweisen und an die Interfaces eigenständige Switche hängen. ICH würde da aber mit VLANs arbeiten - sofern die übrige Hardware mitspielt.
1
