opc123
Goto Top

Sophos UTM Regel blockt nicht

Hallo,

Ich habe das Problem, dass mein Nas nicht zum Wan geblockt wird in der Sophos.
Die ist richtig als Host hinterlegt und die Regel ganz oben. Leider taucht nicht einmal die IP auf im Protokoll.
Einzige besonderheit: das Nas ist per LAG angeschlossen. Liegt da das Problem?

Content-ID: 665217

Url: https://administrator.de/contentid/665217

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

tech-flare
tech-flare 28.03.2021 aktualisiert um 23:25:46 Uhr
Goto Top
Zitat von @opc123:

Hallo,
Hallo,

Ich habe das Problem, dass mein Nas nicht zum Wan geblockt wird in der Sophos.
Leider taucht nicht einmal die IP auf im Protokoll.
Hast du denn für diese Regel den Log aktiviert?
Einzige besonderheit: das Nas ist per LAG angeschlossen.
Liegt da das Problem?
Sollen wir raten?
Wie wäre es mit einem Bild o. ä. ...
aqui
aqui 29.03.2021 um 01:06:29 Uhr
Goto Top
das Nas ist per LAG angeschlossen. Liegt da das Problem?
Ja, denn dann muss die Regel immer an das virtuelle LAG Interface gebunden werden !
opc123
opc123 29.03.2021 um 07:56:57 Uhr
Goto Top
Ja das Log ist an.

Also muss ich das Lag in ein Vlan packen und auf das Vlan die Regel anwenden?

Ist das immer so oder liegt dss rein an der UTM? Wird der IP Header beim Lag verändert?
tech-flare
tech-flare 29.03.2021 aktualisiert um 08:31:16 Uhr
Goto Top
Zitat von @opc123:

Ja das Log ist an.
Und was sagt das Log? Nichts....also zieht die Regel nicht....Somit ist da sicherlich noch irgend eine andere Regel, welche zieht und wo kein Log an ist. Ps.: Standardmäßig zeigt es bei Sopohs nur den geblockten Traffic an...und benötigst noch ein Regel, welche den erlaubten Traffic mitloggt. So ist es zumindest in der XG Serie

Also muss ich das Lag in ein Vlan packen und auf das Vlan die Regel anwenden?
Nein...ist nicht zwingend erforderlich. Es kommt auf deine Konfiguration an.

Ist das immer so oder liegt dss rein an der UTM?
Nein das liegt auch nicht an der UTM.

Aber nochmal......sinnvoller wäre ein Skizze oder ein Bild!
em-pie
em-pie 29.03.2021 aktualisiert um 09:23:49 Uhr
Goto Top
Moin,

bitte mal einen (teilanonymisierten) Screenshot der Regel hier posten.

Grundsätzlich klappt das.

@aqui:
Ja, denn dann muss die Regel immer an das virtuelle LAG Interface gebunden werden !
der sophos ist es egal, ob das Device per LAG oder nicht angebunden ist - zumidest, wenn die Regel mit der IP/ dem DNS-Eintrag des NAS als Absender hinterlegt wurde.
Ich gehe zudem mal davon aus, dass die LAG an einem Switch und nicht direkt an der UTM angelegt wurde. das wäre sonst ein verballern von wenig verfügbaren ETH-Ports an der UTM...

@tech-flare
Standardmäßig zeigt es bei Sopohs nur den geblockten Traffic an...und benötigst noch ein Regel, welche den erlaubten Traffic mitloggt. So ist es zumindest in der XG Serie
ist bei der SG-Serie auch. in der Firewall-Regel muss unter Advanced das Logging aktiviert werden, damit man jeglichen Traffic sieht.

Gruß
em-pie
opc123
opc123 29.03.2021 um 20:04:07 Uhr
Goto Top
Hier ein Bild der Regeln für die DS, diese ist als Host hinterlegt.
Ich habe bei allen Regeln das Protokoll aktiviert, aber von dem Nas wird keinerleih Trafig angezeig

regelwerk

Der Aufbau ist wie folgt:

Fritzbox --- Sophos -- Switch Layer 2 --- Geräte

die DS kann fröhlich ins WWW, obwohl die das ja nicht dürfte.

Ich kann mir nur vorstellen, das es am LAG liegt.
Ich nehme das als test mal raus.
LAG ist direkt mit dem Switch eingestellt.
opc123
opc123 29.03.2021 um 20:45:55 Uhr
Goto Top
Auch ohne LAG, wird die Regel nicht angewendet. Sehr eigenartig.
Sobald ich die in ein Vlan packe, funktioniert es.

Normal sollte ja aber der Trafic an der stelle verworfen werden und nachfolgende regeln ignoriert werden.
em-pie
em-pie 29.03.2021 um 20:59:28 Uhr
Goto Top
Hast du den WebProxy im Einsatz?

Wie sieht ein traceroute der Storage ins WWW aus?

Normalerweise sollte was geblockt werden.
Die IP des Objektes „DS-01“ stimmt auch?
opc123
opc123 29.03.2021 um 21:27:09 Uhr
Goto Top
Die IP stimmt.
Nein, keinen Webproxy.
Tracert geht direkt über die Sophos.
Ex0r2k16
Ex0r2k16 30.03.2021 um 10:21:36 Uhr
Goto Top
Zitat von @opc123:

Hier ein Bild der Regeln für die DS, diese ist als Host hinterlegt.
Ich habe bei allen Regeln das Protokoll aktiviert, aber von dem Nas wird keinerleih Trafig angezeig

regelwerk

Der Aufbau ist wie folgt:

Fritzbox --- Sophos -- Switch Layer 2 --- Geräte

die DS kann fröhlich ins WWW, obwohl die das ja nicht dürfte.

Ich kann mir nur vorstellen, das es am LAG liegt.
Ich nehme das als test mal raus.
LAG ist direkt mit dem Switch eingestellt.

Was sind das für rote/gelbe Regeln? Wenn die IP der DS nicht im Log auftaucht, hast du irgendwo was eingerichtet, was nicht geloggt wird. Bedenke: Die Sophos erstellt gerne mal automatisch Regeln! Die kannst du dir aber anzeigen lassen und auch editieren. Eventuell fehlt da noch das "Log Traffic" Häckchen. Lösch die DS Regeln mal komplett raus. Normal müsste die IP ja dann in Default Block gehen.
em-pie
em-pie 30.03.2021 aktualisiert um 10:30:48 Uhr
Goto Top
Zitat von @opc123:

Die IP stimmt.
Nein, keinen Webproxy.
Tracert geht direkt über die Sophos.
Irgendwo ist da aber noch ein Bock drin...

geh mal auf "Users & Definitions", suche dir das Objekt "DS-01" heraus und klicke auf das i
von dem sich aufklappenden Screen dann bitte einen Screenshot einstellen (ggf. teilanonymisiert).

@Ex0r2k16
die UTM arbeitet aber auch nach dem "First match wins"-Prinzip. seine beiden Regeln sind an Position 2 und 3, darüber kommt nur eine Auto-FW-Regel aus den VPN-Profilen.
der Gelbe Pfeil bedeutet "Reject" und der rote "Drop"
Beschreibung aus der Doku (S. 217f): https://docs.sophos.com/nsg/sophos-utm/utm/9.6/pdf/en-us/administration- ...
Drop: Packets matching a rule with this action will be silently dropped.
Reject: Connection requests matching rules with this action will be actively rejected. The sender will be informed via an ICMP message.
Ex0r2k16
Ex0r2k16 30.03.2021 aktualisiert um 11:52:00 Uhr
Goto Top
ja aber wozu diese Regeln? Ich würde Sie mal ausschalten oder löschen. Ich habe bei mir auch keine einzige Drop/Reject Regel drinn. Das macht die Sache bei vielen Regeln ja noch komplizierter, da man ja dann wie du schon sagst auch noch die korrekte Reihenfolge der Regeln abklappern muss im Fehlerfall. Entweder es ist erlaubt ansonsten halt Default Drop.
opc123
opc123 31.03.2021 um 08:05:24 Uhr
Goto Top
Fehler gefunden.

Der smtp Dienst hat alles durch gelassen, da auf der DS der Mail Server läuft.

Kann man das in der Firewall sinnvoll lösen? Nur weil Smtp an ist, soll ja nicht alles durch.

Option B die mir einfällt, dem Lag eine Netzwerkkarte nehmen und in der DS den Trafic für smtp nur über diese Steuern und so als smtp anbinden.
em-pie
em-pie 31.03.2021 um 08:28:33 Uhr
Goto Top
Ja, eine Regel in der UTM bauen, die nur den Dienst SMTP statt Any durchlässt...

Wie sieht denn die Regel dazu in deiner UTM bisher aus?
opc123
opc123 03.04.2021 um 13:23:16 Uhr
Goto Top
Es gab für die ds aber keine weitere regel.
Nur die autimatische nit Port 25.