Sonicwall NSA 240 Windows 2003 Server Proxy

Mitglied: MichaelBSW

MichaelBSW (Level 1) - Jetzt verbinden

17.02.2011, aktualisiert 14:21 Uhr, 6226 Aufrufe, 20 Kommentare, 1 Danke

Ich brauche Hilfe zur Einrichtung einer SonicWall

Hallo,

ich habe folgendes Problem, ich habe eine SonicWall einen Windows 2003 SBS Server mir installiertem Jana Proxy und einen HP Switch.
Ich würde gerne die Route der Clients auf den Proxy Server umleiten allerdings habe ich wenig Erfahrung im Bereich Routing usw.
Ich habe mir schon folgende Anleitung angeschaut "Routing mit 2 Netzwerkkarten unter Windows u. Linux
https://www.administrator.de/index.php?content=56073
ich denke ich komme auch soweit klar nur finde ich ist diese Sonicwall ziemlich kompliziert und hat viele Begriffe die mir nicht viel sagen.
Ich hoffe meine Frage ist nicht zu allgemein, aber könnte mir vielleicht sagen wie cih die Sonicwall konfigureieren muss um den Datenverkehr auf den Windows 2003 Server Proxy umzuleiten.

Vielen Dank

Gruß

Michael

89534d7e2253e014dbc50ff91c5ba264 - Klicke auf das Bild, um es zu vergrößern

dd805c12ae1125df85f8766a53574455 - Klicke auf das Bild, um es zu vergrößern
Mitglied: 48507
48507 (Level 2)
17.02.2011 um 12:00 Uhr
Proxy hat nichts mit Routing zu tun, gib den Proxy in den Gruppenrichtlinien an und gut ist.
Bitte warten ..
Mitglied: MichaelBSW
17.02.2011 um 14:00 Uhr
Hallo,

für den Internet Explorer habe ich bereits ein Gruppenrichtlinie erstellt, leider muß ein spezieler User alle Browser nutzen da er die Webinhalte unserer Homepage prüfen muss.
Außerdem wenn der User den Proxy rausmacht soll er gar nicht ins Internet geht.


Gruß

Michael
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
17.02.2011 um 14:51 Uhr
Die Firewall sollte nur dem Proxy den Internetzugriff erlauben (mit Ausnahmen für Server und "Admin-IPs"). Firefox und Co. greifen normalerweise auf IE-Proxy-Einstellungen zurück.
Bitte warten ..
Mitglied: Pikespeak
17.02.2011 um 14:57 Uhr
Genau, mach eine Deny Regel für (FTP, HTTP UND HTTPS) Lan Primary Subnet nach ANY (im Bereich LAN > WAN).. Dann kann keiner mehr auf das Internet zugreifen.
Ausnahmen kannst du dann anschließend für den Server erstellen in dem du für einzelne IP Adressen den Zugriff erlaubst.
Bitte warten ..
Mitglied: MichaelBSW
17.02.2011 um 16:15 Uhr
Hallo,

vielen Dank für die Antworten, das heißt also das für den Proxy das Routing gar keine Rolle spielt ich darf nur an der SonicWall nur den Proxy Server durchlassen und somit ist gewährleistet das keiner
ohne Proxyeinstellungen ins Internet kommt.Kann ich dann auch Regeln für Ausnahmen definieren?
Und kann mir jemand villeicht noch etwas genauer erklären was und wie ich das in der SonicWall einstellen muss.
Vielen Dank

Michael
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
17.02.2011 um 17:23 Uhr
Poste doch mal einen Screenshot mit den Policies.

Aussehen könnte es so:

Objekt oder Gruppe "Server" erstellen (Inhalt: deren IP-Adressen)
Objekt Proxy erstellen (Inhalt: seine IP)

Regeln (die Reihenfolge ist entscheidend):

Source: Server
Destination : any (oder WAN)
Service: any
Action: allow

Source: Proxy
Destination: any (oder WAN)
Service: 80, 443, 21 (http, https, ftp)
Action: allow

Source: any local (oder LAN)
Destination: any (oder WAN)
Service: any
Action: deny
Bitte warten ..
Mitglied: MichaelBSW
18.02.2011 um 08:38 Uhr
Hallo,

ich weiß nicht wo ich das Objekt oder die Gruppe erstellen soll?

Gruß

Michael
Bitte warten ..
Mitglied: sk
19.02.2011 um 14:51 Uhr
Zitat von @MichaelBSW:
ich weiß nicht wo ich das Objekt oder die Gruppe erstellen soll?

Es wäre ratsam, die Einrichtung jemanden machen zu lassen, der sich wenigstens ein bisschen damit auskennt. Dabei dann über die Schulter schauen und lernen. Alle haben mal klein angefangen... ;-) face-wink

Gruß
Steffen
Bitte warten ..
Mitglied: MichaelBSW
21.02.2011 um 08:29 Uhr
Hallo,

danke für den konstruktiven Beitrag, würde ich gerne machen wenn ich jemanden hätte der es könnte.

Gruß

Michael
Bitte warten ..
Mitglied: Pikespeak
21.02.2011 um 11:12 Uhr
Ich hab mal 2 Screenshots gemacht, aber wie kann ich die hochladen?
Bitte warten ..
Mitglied: MichaelBSW
21.02.2011 um 12:09 Uhr
Hallo,

danke für die Hilfe,ich schicke dir meine E-Mail Adresse per PN.

Gruß

Michael
Bitte warten ..
Mitglied: MichaelBSW
24.02.2011 um 11:15 Uhr
Hallo,

ich weiß jetzt mittlerweile wie man Objekte Gruppen und Firewall Regeln erstellt, Danke nochmal an Oliver!

Ich habe ein Adress Object Admin PC

Name: Admin
Zone: LAN
Typ: Host
IP 192.168.168.110

und habe zwei Access Rules
Action: Allow
From Zone: LAN
To Zone: WAN
Service: Any
Source: Admin
Destination: Any
Users: All
Schedule: Always on

die zweite
Action Deny
From Zone: LAN
To Zone: WAN
Service: Any
Source: Any
Destination: Any
Users: All
Schedule: Always on

leider komm ich sobald ich die zwete Regel einschalte auch mit dem Admin PC nicht mehr ins Internet, muss ich noch etwas einstellen oder beachten.

Vielen Dank

Gruß
Michael
Bitte warten ..
Mitglied: sk
24.02.2011 um 11:29 Uhr
Hallo,

1) Die Allow-Regel muss über der Deny-Regel stehen, da das Regelwerk von oben nach unten abgearbeitet wird.
2) Die Allow-Regel greift nur, wenn der Admin-PC auch selbst direkt ins Internet geht. Wenn er einen Proxy benutzt, muss dieser Surfen dürfen.
3) Gern vergessen wird die Namensauflösung. In einer Win-Domäne erfolgen die Namensauflösungen über die internen DNS-Server. Diese DNS-Server müssen nach extern DNS-Auflösungen machen dürfen, um Hosts externer Domänen über die DNS-Forwarder auflösen zu können.

Im Übrigen hat die Sonicwall ein brauchbares Realtime-Log... ;-) face-wink

Gruß
sk
Bitte warten ..
Mitglied: MichaelBSW
24.02.2011 um 11:43 Uhr
Hallo sk,

zu 1) die Allow-Regel steht über der Deny-Regel
zu 2) Admin PC geht direkt ins Internet und braucht keinen Proxy
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?

Vielen Dank für deine Hilfe

Gruß

Michael
Bitte warten ..
Mitglied: sk
24.02.2011 um 11:48 Uhr
Zitat von @MichaelBSW:
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der
Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?

Ausgehend von der Annahme, dass die DNS-Konfig vorher korrekt war, muss am Server nichts geändert werden. Auf der Firewall muss lediglich DNS vom Server zum WAN zugelassen werden.

Gruß
Steffen
Bitte warten ..
Mitglied: Pikespeak
24.02.2011 um 12:07 Uhr
Das könnte das Problem sein Michael,

erlaube mit einer Extra regel noch DNS für deinen DNS Server (meist Domänencontroller).
Zum testen kannst du auch auf deinem Admin PC mal 8.8.8.8 als DNS Server eintragen und dann testen. Deine Regel lässt DNS ja vom Admin PC aus zu.

Gruß

Oliver
Bitte warten ..
Mitglied: MichaelBSW
24.02.2011 um 14:18 Uhr
Hallo,

das war die Lösung!
@Oliver, ich hätte nur deine Mail besser lesen müssen das hast du ja schon was von DNS geschrieben.
Danke an Oliver, Steffen und alle anderen
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
24.02.2011 um 14:41 Uhr
Du sollstest die Server nicht so einschränken, lass sie ruhig alles dürfen. Denn du brauchst nicht nur DNS, sondern NTP, Windows-Updates, tracert, ping... usw.
Bitte warten ..
Mitglied: Pikespeak
24.02.2011 um 16:27 Uhr
@spytnik Naja das sehe ich etwas anders. Also recht hast du damit das Sie mehr als DNS brauchen, aus meiner sicht sind das in der Regel: NTP (wenn man keinen internen hat, mit einer Domäne aber hat man einen, trotzdem ist es bequem NTP für alle freizugeben, (nur für Proxyserver: FTP, HTTP, HTTPS), (nur für Mailserver: IMAP, POP3, SMTP), Elster, HBCI

Tracert, Ping usw sind ja nur Dienste die das ganze bequemer machen, aber nicht wirklich notwendig sind. Da er die aber dem Admin PC freigegeben hat reicht das völlig aus.

Das Problem wenn du alles offen lässt ist wenn du dir mal nen Wurm einfängst dürfen alle PCs mit Port 25 raus blasen und das will man 1. nicht und 2. hab ich es (zugegeben in Holland) schon erlebt das die den ganzen Internetzugang abgeschaltet haben weil so viel Spam aus dem Kundennetz kam.

Also die devise ist, so wenig wie möglich, so viel wie nötig.
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
24.02.2011 um 16:55 Uhr
Naja, der Mailserver bleibt dann ja noch als möglicher Spamversender. Außerdem synchronisieren sich die Clients in einer Domäne mit dem PDC, und nicht mit dem Internet. ;-) face-wink Aber Recht hast du...
Bitte warten ..
Heiß diskutierte Inhalte
Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 1 TagTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
gelöst anteNopeVor 23 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1012 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 13 StundenFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 12 StundenFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Vmware
VMware wird selbständig
ZeroTrustVor 1 TagInformationVmware

Dell Technologies trennt sich von seiner Tochterfirma VMware. Das spült Geld ins Hause Dell, das sich auf einen Post-COVID-Boom beim Hardware-Absatz vorbereitet. VMware entwickelt ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 11 StundenFrageGroupware9 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...