maddig
Goto Top

Sophos UTM Firewallregeln Webserver

Guten Abend,

ich bin gerade von pfSense auf Sophos umgestiegen.

Im Moment bin ich dabei meine Firewallregeln wieder zu basteln.

Ich betreibe einen nginx Webserver mit der IP 192.168.2.11 (DEB001). Zu diesem Server will ich Port 80, 443, 3306 zulassen.

Bei der pfSense habe ich das so gelöst:

Pass	TCP	*	*	192.168.2.11	80	*	none		NAT DEB001 - HTTP	
Pass	TCP	*	*	192.168.2.11	443	*	none		NAT DEB001 - HTTPS	
Pass	TCP	*	*	192.168.2.11	3306	*	none		NAT DEB001 - MYSQL	

Bei der Sophos habe ich es genauso eingerichtet (siehe Bild im Anhang)


Nur komme ich von außen nicht auf den Server. Im Firewalllog kommen die Anfrage garnicht vor.

Das WAN Interface hat die IP 192.168.1.2 und steht hinter einem Speedport 192.168.1.1 bei dem alle Ports freigegeben sind. Das ging mit der pfSense auch ohne Probleme.

Ich hoffe ihr könnt mir helfen. Ich schätze ich habe etwas übersehen.

mfg
maddig
unbenannt

Content-ID: 325055

Url: https://administrator.de/forum/sophos-utm-firewallregeln-webserver-325055.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

certifiedit.net
certifiedit.net 29.12.2016 um 20:59:27 Uhr
Goto Top
Hallo Maddig,

interner und externe IP Range sind gleich?

Wenn nein - NAT.

VG

PS: Was für ne SG hast denn im Einsatz?
aqui
aqui 29.12.2016 aktualisiert um 21:11:30 Uhr
Goto Top
Das WAN Interface hat die IP 192.168.1.2 und steht hinter einem Speedport 192.168.1.1
Klassische doppelte NAT Routerkaskade also...
Nicht gut und unproduktiv, muss aber durch den dummen, schrottigen Speedport zwingend sein, da der keine statischen Routen supportet.
Das lokale Netz ist die .2.0 /24. Also IP Range (glücklicherweise) unterschiedlich.
Ob man MySQL Daten ungeschützt über das Internet übertragen sollte ist einen ganz andere Frage...
maddig
maddig 29.12.2016 um 21:19:46 Uhr
Goto Top
Danke für die Antworten.

Ja hab einen Speedport zwang wegen der LTE Geschichte.

Range ist nicht gleich. Das mit MySQL stimmt.

Wie richte ich dann ein Portforwarding bei der Sophos ein? Bei der pfSense ging das relativ easy.

Ich benutzte UTM Home 9.4 auf einem APU2C4 Board. Ich weißt nicht optimal aber ich bin zurzeit am durchtesten.
maddig
maddig 29.12.2016 um 21:21:59 Uhr
Goto Top
Das müsste dann ein DNAT sein oder?
maddig
maddig 29.12.2016 um 21:46:20 Uhr
Goto Top
Ok ja, ist ein DNAT mit External Address und als Ziel dann mein Webserver.
Pjordorf
Pjordorf 29.12.2016 aktualisiert um 22:36:49 Uhr
Goto Top
Hallo,

Zitat von @maddig:
Ok ja, ist ein DNAT mit External Address und als Ziel dann mein Webserver.
Kannst auch mal hier DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung schauen.

Gruß,
Peter
aqui
aqui 30.12.2016 aktualisiert um 11:48:37 Uhr
Goto Top
Ja hab einen Speedport zwang wegen der LTE Geschichte.
Müsste ja nicht so sein... pfSense mit Dual WAN Balancing wäre hier wie immer die bessere Lösung !
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Zumal wenn du schon so eine FW hast...oder gehabt hast.
Aber Reisende zu vermeintlich neuen Ufern soll man ja bekanntlich nicht aufhalten.
Außerdem hast du den Thread ja selber jetzt auf gelöst geklickt...also alles gut !