Sophos UTM DMZ und VLAN

Servus,

ich habe eine Verständnisfrage:

eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt?
Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?

Auf der Firewall sind die internen DNS als Forwarder konfiguriert. Wenn ich also auf der DMZ-Schnittstelle ein VLAN für z.B. WLAN konfiguriere, dann sehen sie zwar meinen DNS aber nicht andere Clients (konfiguration der Switche vorrausgesetzt), ist das auch korrekt?

eth0 = intern
eth1 = extern
eth2 = DMZ

Grüße vom Bodensee,

Peter

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 318431

Url: https://administrator.de/contentid/318431

Ausgedruckt am: 08.11.2024 um 02:11 Uhr

2 Kommentare

Neuester Kommentar

ist das korrekt?

Ja !

Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?

Nein, oder besser Jein !
Das kommt wie immer auf deine Firewall Regeln zwischen dem DMZ Segment und lokalen Netz an und welche Policy du da erlaubst.
Ohne diese zu kennen oder ohne das du diese definierst ist diese Frage nicht zu beantworten. Leuchtet dir sicher auch selber ein ?!
Du kannst ICMP Typ 0 und 8 (Echo Request/Reply = Ping) für das LAN oder bestimmte Hosts zulassen oder eben komplett blocken.
Wie gesagt ist Policy abhängig was DU mit der Firewall umsetzt.

ist das auch korrekt?

Ja !
VLANs sind immer untereinander vollkommen getrennte und isolierte Layer 2 Broadcast Domains ohne jegliche physische Verbindung.
Allerdings innerhalb eines VLANs sehen sich die Clients untereinander. Willst du das auch unterbinden musst du auf dem Switch sog. Private VLANs oder Isolated VLANs konfigurieren...sofern der Switch dieses Feature supportet.
VLANs zu koppeln erfordert immer ein Layer 3 fähiges Device.