15
Sophos UTM Regel blockt nicht
Hallo,
Ich habe das Problem, dass mein Nas nicht zum Wan geblockt wird in der Sophos.
Die ist richtig als Host hinterlegt und die Regel ganz oben. Leider taucht nicht einmal die IP auf im Protokoll.
Einzige besonderheit: das Nas ist per LAG angeschlossen. Liegt da das Problem?
Ich habe das Problem, dass mein Nas nicht zum Wan geblockt wird in der Sophos.
Die ist richtig als Host hinterlegt und die Regel ganz oben. Leider taucht nicht einmal die IP auf im Protokoll.
Einzige besonderheit: das Nas ist per LAG angeschlossen. Liegt da das Problem?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665217
Url: https://administrator.de/contentid/665217
Printed on: April 26, 2024 at 06:04 o'clock
15 Comments
Latest comment
Hallo,
Wie wäre es mit einem Bild o. ä. ...
Ich habe das Problem, dass mein Nas nicht zum Wan geblockt wird in der Sophos.
Leider taucht nicht einmal die IP auf im Protokoll.
Hast du denn für diese Regel den Log aktiviert?Leider taucht nicht einmal die IP auf im Protokoll.
Einzige besonderheit: das Nas ist per LAG angeschlossen.
Liegt da das Problem?
Sollen wir raten?Liegt da das Problem?
Wie wäre es mit einem Bild o. ä. ...
das Nas ist per LAG angeschlossen. Liegt da das Problem?
Ja, denn dann muss die Regel immer an das virtuelle LAG Interface gebunden werden !
Ja das Log ist an.
Also muss ich das Lag in ein Vlan packen und auf das Vlan die Regel anwenden?
Ist das immer so oder liegt dss rein an der UTM? Wird der IP Header beim Lag verändert?
Also muss ich das Lag in ein Vlan packen und auf das Vlan die Regel anwenden?
Ist das immer so oder liegt dss rein an der UTM? Wird der IP Header beim Lag verändert?
Und was sagt das Log? Nichts....also zieht die Regel nicht....Somit ist da sicherlich noch irgend eine andere Regel, welche zieht und wo kein Log an ist. Ps.: Standardmäßig zeigt es bei Sopohs nur den geblockten Traffic an...und benötigst noch ein Regel, welche den erlaubten Traffic mitloggt. So ist es zumindest in der XG Serie
Aber nochmal......sinnvoller wäre ein Skizze oder ein Bild!
Also muss ich das Lag in ein Vlan packen und auf das Vlan die Regel anwenden?
Nein...ist nicht zwingend erforderlich. Es kommt auf deine Konfiguration an.Ist das immer so oder liegt dss rein an der UTM?
Nein das liegt auch nicht an der UTM.Aber nochmal......sinnvoller wäre ein Skizze oder ein Bild!
Moin,
bitte mal einen (teilanonymisierten) Screenshot der Regel hier posten.
Grundsätzlich klappt das.
@aqui:
Ich gehe zudem mal davon aus, dass die LAG an einem Switch und nicht direkt an der UTM angelegt wurde. das wäre sonst ein verballern von wenig verfügbaren ETH-Ports an der UTM...
@tech-flare
Gruß
em-pie
bitte mal einen (teilanonymisierten) Screenshot der Regel hier posten.
Grundsätzlich klappt das.
@aqui:
Ja, denn dann muss die Regel immer an das virtuelle LAG Interface gebunden werden !
der sophos ist es egal, ob das Device per LAG oder nicht angebunden ist - zumidest, wenn die Regel mit der IP/ dem DNS-Eintrag des NAS als Absender hinterlegt wurde.Ich gehe zudem mal davon aus, dass die LAG an einem Switch und nicht direkt an der UTM angelegt wurde. das wäre sonst ein verballern von wenig verfügbaren ETH-Ports an der UTM...
@tech-flare
Standardmäßig zeigt es bei Sopohs nur den geblockten Traffic an...und benötigst noch ein Regel, welche den erlaubten Traffic mitloggt. So ist es zumindest in der XG Serie
ist bei der SG-Serie auch. in der Firewall-Regel muss unter Advanced das Logging aktiviert werden, damit man jeglichen Traffic sieht.Gruß
em-pie
Hier ein Bild der Regeln für die DS, diese ist als Host hinterlegt.
Ich habe bei allen Regeln das Protokoll aktiviert, aber von dem Nas wird keinerleih Trafig angezeig
Der Aufbau ist wie folgt:
Fritzbox --- Sophos -- Switch Layer 2 --- Geräte
die DS kann fröhlich ins WWW, obwohl die das ja nicht dürfte.
Ich kann mir nur vorstellen, das es am LAG liegt.
Ich nehme das als test mal raus.
LAG ist direkt mit dem Switch eingestellt.
Ich habe bei allen Regeln das Protokoll aktiviert, aber von dem Nas wird keinerleih Trafig angezeig
Der Aufbau ist wie folgt:
Fritzbox --- Sophos -- Switch Layer 2 --- Geräte
die DS kann fröhlich ins WWW, obwohl die das ja nicht dürfte.
Ich kann mir nur vorstellen, das es am LAG liegt.
Ich nehme das als test mal raus.
LAG ist direkt mit dem Switch eingestellt.
Auch ohne LAG, wird die Regel nicht angewendet. Sehr eigenartig.
Sobald ich die in ein Vlan packe, funktioniert es.
Normal sollte ja aber der Trafic an der stelle verworfen werden und nachfolgende regeln ignoriert werden.
Sobald ich die in ein Vlan packe, funktioniert es.
Normal sollte ja aber der Trafic an der stelle verworfen werden und nachfolgende regeln ignoriert werden.
Hast du den WebProxy im Einsatz?
Wie sieht ein traceroute der Storage ins WWW aus?
Normalerweise sollte was geblockt werden.
Die IP des Objektes „DS-01“ stimmt auch?
Wie sieht ein traceroute der Storage ins WWW aus?
Normalerweise sollte was geblockt werden.
Die IP des Objektes „DS-01“ stimmt auch?
Die IP stimmt.
Nein, keinen Webproxy.
Tracert geht direkt über die Sophos.
Nein, keinen Webproxy.
Tracert geht direkt über die Sophos.
Zitat von @opc123:
Hier ein Bild der Regeln für die DS, diese ist als Host hinterlegt.
Ich habe bei allen Regeln das Protokoll aktiviert, aber von dem Nas wird keinerleih Trafig angezeig
Der Aufbau ist wie folgt:
Fritzbox --- Sophos -- Switch Layer 2 --- Geräte
die DS kann fröhlich ins WWW, obwohl die das ja nicht dürfte.
Ich kann mir nur vorstellen, das es am LAG liegt.
Ich nehme das als test mal raus.
LAG ist direkt mit dem Switch eingestellt.
Hier ein Bild der Regeln für die DS, diese ist als Host hinterlegt.
Ich habe bei allen Regeln das Protokoll aktiviert, aber von dem Nas wird keinerleih Trafig angezeig
Der Aufbau ist wie folgt:
Fritzbox --- Sophos -- Switch Layer 2 --- Geräte
die DS kann fröhlich ins WWW, obwohl die das ja nicht dürfte.
Ich kann mir nur vorstellen, das es am LAG liegt.
Ich nehme das als test mal raus.
LAG ist direkt mit dem Switch eingestellt.
Was sind das für rote/gelbe Regeln? Wenn die IP der DS nicht im Log auftaucht, hast du irgendwo was eingerichtet, was nicht geloggt wird. Bedenke: Die Sophos erstellt gerne mal automatisch Regeln! Die kannst du dir aber anzeigen lassen und auch editieren. Eventuell fehlt da noch das "Log Traffic" Häckchen. Lösch die DS Regeln mal komplett raus. Normal müsste die IP ja dann in Default Block gehen.
Irgendwo ist da aber noch ein Bock drin...
geh mal auf "Users & Definitions", suche dir das Objekt "DS-01" heraus und klicke auf das i
von dem sich aufklappenden Screen dann bitte einen Screenshot einstellen (ggf. teilanonymisiert).
@Ex0r2k16
die UTM arbeitet aber auch nach dem "First match wins"-Prinzip. seine beiden Regeln sind an Position 2 und 3, darüber kommt nur eine Auto-FW-Regel aus den VPN-Profilen.
der Gelbe Pfeil bedeutet "Reject" und der rote "Drop"
Beschreibung aus der Doku (S. 217f): https://docs.sophos.com/nsg/sophos-utm/utm/9.6/pdf/en-us/administration- ...
geh mal auf "Users & Definitions", suche dir das Objekt "DS-01" heraus und klicke auf das i
von dem sich aufklappenden Screen dann bitte einen Screenshot einstellen (ggf. teilanonymisiert).
@Ex0r2k16
die UTM arbeitet aber auch nach dem "First match wins"-Prinzip. seine beiden Regeln sind an Position 2 und 3, darüber kommt nur eine Auto-FW-Regel aus den VPN-Profilen.
der Gelbe Pfeil bedeutet "Reject" und der rote "Drop"
Beschreibung aus der Doku (S. 217f): https://docs.sophos.com/nsg/sophos-utm/utm/9.6/pdf/en-us/administration- ...
Drop: Packets matching a rule with this action will be silently dropped.
Reject: Connection requests matching rules with this action will be actively rejected. The sender will be informed via an ICMP message.
Reject: Connection requests matching rules with this action will be actively rejected. The sender will be informed via an ICMP message.
ja aber wozu diese Regeln? Ich würde Sie mal ausschalten oder löschen. Ich habe bei mir auch keine einzige Drop/Reject Regel drinn. Das macht die Sache bei vielen Regeln ja noch komplizierter, da man ja dann wie du schon sagst auch noch die korrekte Reihenfolge der Regeln abklappern muss im Fehlerfall. Entweder es ist erlaubt ansonsten halt Default Drop.
Fehler gefunden.
Der smtp Dienst hat alles durch gelassen, da auf der DS der Mail Server läuft.
Kann man das in der Firewall sinnvoll lösen? Nur weil Smtp an ist, soll ja nicht alles durch.
Option B die mir einfällt, dem Lag eine Netzwerkkarte nehmen und in der DS den Trafic für smtp nur über diese Steuern und so als smtp anbinden.
Der smtp Dienst hat alles durch gelassen, da auf der DS der Mail Server läuft.
Kann man das in der Firewall sinnvoll lösen? Nur weil Smtp an ist, soll ja nicht alles durch.
Option B die mir einfällt, dem Lag eine Netzwerkkarte nehmen und in der DS den Trafic für smtp nur über diese Steuern und so als smtp anbinden.
Ja, eine Regel in der UTM bauen, die nur den Dienst SMTP statt Any durchlässt...
Wie sieht denn die Regel dazu in deiner UTM bisher aus?
Wie sieht denn die Regel dazu in deiner UTM bisher aus?
Es gab für die ds aber keine weitere regel.
Nur die autimatische nit Port 25.
Nur die autimatische nit Port 25.
