Sonicwall TZ-210 Block DHCP Lan -- DMZ
Hallo,
leider lässt mich das offizielle Sonicwall Forum im Stich - vielleicht kann mir ja einer von euch Profis weiterhelfen. Wie bereits erwähnt eine Sonicwall TZ-210.
Konfiguriert a la:
LAN --> DMZ --> All Services --> Allow
DMZ --> LAN --> All Services --> Deny
Nachdem DMZ --> LAN alles verboten ist, habe ich für LAN --> DMZ zwei Ports gesperrt:
1. UDP 67 (DHCP Discovery)
2. UDP 68 (DHCP Offer)
Sobald ich versuche in beiden Netzen einen unabhängigen DHCP zu starten, ist diesen immer der andere bekannt --> Einer quittiert seinen Dienst.
Bis jetzt konnte ich keinerlei Hinweise finden, dieses Verhalten zu unterbinden.
Hat jemand einen Tip für mich?
Thx Zangetsu
leider lässt mich das offizielle Sonicwall Forum im Stich - vielleicht kann mir ja einer von euch Profis weiterhelfen. Wie bereits erwähnt eine Sonicwall TZ-210.
Konfiguriert a la:
LAN --> DMZ --> All Services --> Allow
DMZ --> LAN --> All Services --> Deny
Nachdem DMZ --> LAN alles verboten ist, habe ich für LAN --> DMZ zwei Ports gesperrt:
1. UDP 67 (DHCP Discovery)
2. UDP 68 (DHCP Offer)
Sobald ich versuche in beiden Netzen einen unabhängigen DHCP zu starten, ist diesen immer der andere bekannt --> Einer quittiert seinen Dienst.
Bis jetzt konnte ich keinerlei Hinweise finden, dieses Verhalten zu unterbinden.
Hat jemand einen Tip für mich?
Thx Zangetsu
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 246197
Url: https://administrator.de/forum/sonicwall-tz-210-block-dhcp-lan-dmz-246197.html
Ausgedruckt am: 26.12.2024 um 03:12 Uhr
6 Kommentare
Neuester Kommentar
Wenn alles dicht ist dürfte das zusätzliche "sperren" entweder schief gelaufen sein und es war ein "öffnen" oder dein all deny funktioniert nicht. Abgesehen davon: Ein any-any richtung DMZ ist nicht im Sinne des Erfinders.
Das nebenbei, hier wieder, warum spielst du mit UTM/FWs, die du nicht im Ansatz kennst (offensichtlich ja irgendwie produktiv geplant?)
Das nebenbei, hier wieder, warum spielst du mit UTM/FWs, die du nicht im Ansatz kennst (offensichtlich ja irgendwie produktiv geplant?)
Moin,
ist die neueste GA Firmware auf dem Gerät drauf?
Die beiden Deny-Regeln kommen vor der Allow-Regel (LAN -> DMZ)? Eigentlich macht man es genau andersrum. Alle Serivces zulassen und der Rest wird durch eine Deny-Any-Regel pro Matrix gesperrt.BTW: Diese Regel siehst du auch?
Dein Vorhaben funktioniert mit Dell Sonicwall problemlos.
Gruß,
Dani
ist die neueste GA Firmware auf dem Gerät drauf?
Die beiden Deny-Regeln kommen vor der Allow-Regel (LAN -> DMZ)? Eigentlich macht man es genau andersrum. Alle Serivces zulassen und der Rest wird durch eine Deny-Any-Regel pro Matrix gesperrt.BTW: Diese Regel siehst du auch?
Dein Vorhaben funktioniert mit Dell Sonicwall problemlos.
Gruß,
Dani
Eins ist sowieso unsinnig... UDP 67 (DHCP Discovery) ist in der Regel ein UDP Broadcast der per se schon nicht über Router Interfaces geht. Da eine Firewall auch immer ein Router ist (in der Regel) kommen UDP Broadcasts auch ohne FW Regel schon nicht in andere Segmente so das so einen Regel überflüssig wäre. Scaden kann sie aber nicht wenn man zum Gürtel auch noch den Hosenträger braucht.
Hilfreich ist hier IMMER ein Wireshark mit dem man solchen Leaks sofort rausbekommt.
Hilfreich ist hier IMMER ein Wireshark mit dem man solchen Leaks sofort rausbekommt.
@aqui
Gruß,
Dani
Eins ist sowieso unsinnig... UDP 67 (DHCP Discovery) ist in der Regel ein UDP Broadcast der per se schon nicht über Router Interfaces geht.
Guter Hinweis. Bitte die DHCP-Helper kontrollieren und ggf. deaktivieren. Dell Sonicwall hält sich grundsätzlich nicht an Standards.Gruß,
Dani