Sophos UTM DMZ und VLAN
Servus,
ich habe eine Verständnisfrage:
eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt?
Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?
Auf der Firewall sind die internen DNS als Forwarder konfiguriert. Wenn ich also auf der DMZ-Schnittstelle ein VLAN für z.B. WLAN konfiguriere, dann sehen sie zwar meinen DNS aber nicht andere Clients (konfiguration der Switche vorrausgesetzt), ist das auch korrekt?
eth0 = intern
eth1 = extern
eth2 = DMZ
Grüße vom Bodensee,
Peter
ich habe eine Verständnisfrage:
eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt?
Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?
Auf der Firewall sind die internen DNS als Forwarder konfiguriert. Wenn ich also auf der DMZ-Schnittstelle ein VLAN für z.B. WLAN konfiguriere, dann sehen sie zwar meinen DNS aber nicht andere Clients (konfiguration der Switche vorrausgesetzt), ist das auch korrekt?
eth0 = intern
eth1 = extern
eth2 = DMZ
Grüße vom Bodensee,
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318431
Url: https://administrator.de/forum/sophos-utm-dmz-und-vlan-318431.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
2 Kommentare
Neuester Kommentar
ist das korrekt?
Ja !Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?
Nein, oder besser Jein !Das kommt wie immer auf deine Firewall Regeln zwischen dem DMZ Segment und lokalen Netz an und welche Policy du da erlaubst.
Ohne diese zu kennen oder ohne das du diese definierst ist diese Frage nicht zu beantworten. Leuchtet dir sicher auch selber ein ?!
Du kannst ICMP Typ 0 und 8 (Echo Request/Reply = Ping) für das LAN oder bestimmte Hosts zulassen oder eben komplett blocken.
Wie gesagt ist Policy abhängig was DU mit der Firewall umsetzt.
ist das auch korrekt?
Ja !VLANs sind immer untereinander vollkommen getrennte und isolierte Layer 2 Broadcast Domains ohne jegliche physische Verbindung.
Allerdings innerhalb eines VLANs sehen sich die Clients untereinander. Willst du das auch unterbinden musst du auf dem Switch sog. Private VLANs oder Isolated VLANs konfigurieren...sofern der Switch dieses Feature supportet.
VLANs zu koppeln erfordert immer ein Layer 3 fähiges Device.