Sophos UTM 9 Automatische Firewallregeln ändern
Hallo Leute,
leider habe ich ein Problem mit der Sophos und verstehe es einfach nicht. Man kann unseren Mailserver vom Internet aus erreichen. Jetzt sollte hier ein neuer Server für das Mails gemommen werden. Zuerst habe ich noch nicht mal die Firewallregel hierzu gefunden. Nach sehr langen suchen habe ich bemerkt das es Automatische Firewallregeln gibt und vermute mal das es die Regel hierzu ist. Dort ist auch ein Button zum Bearbeiten da. Mein Problem ist dass wenn ich den Button drücke alles ausgegraut ist und man überhaupt nichts ändern kann. Kann mir jemand sagen wo ich da was daran ändern kann wie z.B. das Ziel als die IP Adresse des neuen Servers dort eintragen kann oder wie ich die Regel mal kurzfristig deaktivieren kann um zu sehen ob es wirklich diese Regel ist ?
Danke Tanja
leider habe ich ein Problem mit der Sophos und verstehe es einfach nicht. Man kann unseren Mailserver vom Internet aus erreichen. Jetzt sollte hier ein neuer Server für das Mails gemommen werden. Zuerst habe ich noch nicht mal die Firewallregel hierzu gefunden. Nach sehr langen suchen habe ich bemerkt das es Automatische Firewallregeln gibt und vermute mal das es die Regel hierzu ist. Dort ist auch ein Button zum Bearbeiten da. Mein Problem ist dass wenn ich den Button drücke alles ausgegraut ist und man überhaupt nichts ändern kann. Kann mir jemand sagen wo ich da was daran ändern kann wie z.B. das Ziel als die IP Adresse des neuen Servers dort eintragen kann oder wie ich die Regel mal kurzfristig deaktivieren kann um zu sehen ob es wirklich diese Regel ist ?
Danke Tanja
Please also mark the comments that contributed to the solution of the article
Content-ID: 91027878952
Url: https://administrator.de/contentid/91027878952
Printed on: December 2, 2024 at 14:12 o'clock
5 Comments
Latest comment
Moin,
Dann der gut gemeinte Rat: Suche Dir jemanden, der es versteht.
So direkt und ohne MTA? Ganz nackig? Ob das eine gute Idee ist ...
Siehe mein Rat oben.
Automatische Regeln werden erstellt, wenn man bei einer DNAT-Regel den entsprechenden Haken setzt. Das sollte man allerdings so nicht tun, weil da gerne ANY-ANY-Regeln rauskommen. Dann kann man sich die FW auch sparen.
Deshalb nennt man sie automatisch erzeugte Regeln. Die kann man nicht ändern.
Du musst die Ziel-IP in der entsprechenden DNAT-Regel ändern. Dann ändert sich das auch automatisch in der Firewall-Regel. Aber nochmal der gut gemeinte Rat: Suche Dir jemanden, der davon was versteht. Bei Deinen Kenntnissen wäre es geradezu sträflich nachlässig, wenn Du sowas kritisches wie die Absicherung eines Email-Servers in the wild übernimmst.
Liebe Grüße
Erik
Dann der gut gemeinte Rat: Suche Dir jemanden, der es versteht.
Man kann unseren Mailserver vom Internet aus erreichen.
So direkt und ohne MTA? Ganz nackig? Ob das eine gute Idee ist ...
Jetzt sollte hier ein neuer Server für das Mails gemommen werden. Zuerst habe ich noch nicht mal die Firewallregel hierzu gefunden.
Siehe mein Rat oben.
Nach sehr langen suchen habe ich bemerkt das es Automatische Firewallregeln gibt und vermute mal das es die Regel hierzu ist.
Automatische Regeln werden erstellt, wenn man bei einer DNAT-Regel den entsprechenden Haken setzt. Das sollte man allerdings so nicht tun, weil da gerne ANY-ANY-Regeln rauskommen. Dann kann man sich die FW auch sparen.
Dort ist auch ein Button zum Bearbeiten da. Mein Problem ist dass wenn ich den Button drücke alles ausgegraut ist und man überhaupt nichts ändern kann.
Deshalb nennt man sie automatisch erzeugte Regeln. Die kann man nicht ändern.
Kann mir jemand sagen wo ich da was daran ändern kann wie z.B. das Ziel als die IP Adresse des neuen Servers dort eintragen kann oder wie ich die Regel mal kurzfristig deaktivieren kann um zu sehen ob es wirklich diese Regel ist ?
Du musst die Ziel-IP in der entsprechenden DNAT-Regel ändern. Dann ändert sich das auch automatisch in der Firewall-Regel. Aber nochmal der gut gemeinte Rat: Suche Dir jemanden, der davon was versteht. Bei Deinen Kenntnissen wäre es geradezu sträflich nachlässig, wenn Du sowas kritisches wie die Absicherung eines Email-Servers in the wild übernimmst.
Liebe Grüße
Erik
Hi.
wurde schon viel gesagt, was ich aber unterstreiche ist: wenn du keine Ahnung hast, such Dir jemanden, der es weiss.
Hintergrund:
DNAT mit Firewall-Regel: Funktioniert, dann hängt dein Mailserver aber mit dem Hintern direkt im Internet > gefährlich.
DNAT wird bei der UTM meistens mit einer automatischen Firewallregel erstellt. Das geht zwar auch ohne, macht aber selten jemand, weil es ja bequem ist.
D.h. Du musst die dazugehörige NAT Regel finden und deaktivieren, dann deaktivierst du auch die FW-Regel.
Wenn Du die WAF benutzt wird auch eine eine entsprechende Regel erstellt. An einer WAF hängen aber noch andere Policies, die abhängig vom dahinterliegenden Mailserver angepasst werden müssen.
Eine eingeschaltete DNAT Regel überschreibt bei der UTM übrigens die WAF-Regel, heisst: gibt es eine DNAT Regel und eine WAF Regel für den Mail-Server, zieht nur die DNAT Regel und die Sicherheitsfeatures durch die WAF sind ausgehebelt.
und zu guter letzt: Die UTM Ist Ende märz (glaube ich) EOL. Es wird Zeit für was neues.
Grüße !
wurde schon viel gesagt, was ich aber unterstreiche ist: wenn du keine Ahnung hast, such Dir jemanden, der es weiss.
Hintergrund:
DNAT mit Firewall-Regel: Funktioniert, dann hängt dein Mailserver aber mit dem Hintern direkt im Internet > gefährlich.
DNAT wird bei der UTM meistens mit einer automatischen Firewallregel erstellt. Das geht zwar auch ohne, macht aber selten jemand, weil es ja bequem ist.
D.h. Du musst die dazugehörige NAT Regel finden und deaktivieren, dann deaktivierst du auch die FW-Regel.
Wenn Du die WAF benutzt wird auch eine eine entsprechende Regel erstellt. An einer WAF hängen aber noch andere Policies, die abhängig vom dahinterliegenden Mailserver angepasst werden müssen.
Eine eingeschaltete DNAT Regel überschreibt bei der UTM übrigens die WAF-Regel, heisst: gibt es eine DNAT Regel und eine WAF Regel für den Mail-Server, zieht nur die DNAT Regel und die Sicherheitsfeatures durch die WAF sind ausgehebelt.
und zu guter letzt: Die UTM Ist Ende märz (glaube ich) EOL. Es wird Zeit für was neues.
Grüße !