Sophos UTM Routing zwischen Interfaces

Hallo zusammen,

ich brauche mal wieder eure Hilfe.

An einem Außenstandort haben wir eine Sophos SG UTM (IP:172.16.50.1/24) im Einsatz.

Dort habe ich ein neues Interface angelegt. Das Interface hat die IP: 172.16.51.2/24
Default Gateway für dieses Interface ist die 172.16.51.1/24.
Die 172.16.51.1 ist ein Lancom Router an dem der Internetanschluss letztlich konfiguriert ist.

Nun ist es so, dass ich durch das Anlegen des Interfaces Zugriff vom Netz 172.16.50.X auf das gesamte 172.16.51.X Netz habe.
Das möchte ich nur ungern.

Die Idee war, lediglich das Surfen über diesen Anschluss zu ermöglichen.
Ich habe bereits versucht mit Firewall Regeln den Zugriff zu verbieten. Allerdings erfolglos...


Welche Möglichkeiten habe ich noch um das zu realisieren?


Besten Dank für eure Tipps.

Content-Key: 1402631481

Url: https://administrator.de/contentid/1402631481

Ausgedruckt am: 27.11.2021 um 19:11 Uhr

Mitglied: aqui
aqui 18.10.2021 aktualisiert um 17:22:48 Uhr
Goto Top
Der Lancom benötigt dann eine statische Route: Zielnetz: 172.16.50.0, Maske: 255.255.255.0, Gateway: 172.16.51.2
Anlegen des Interfaces Zugriff vom Netz 172.16.50.X auf das gesamte 172.16.51.X Netz habe.
Wozu hast du eine Firewall ??
Der kundige Netzwerk Admin legt ein Regelwerk entweder in der UTM oder dem Lancom (oder beidem) an je nach Absender IP was dann den Zugriff auf das .51.0er Netz verhindert ?!
Wo ist denn nun dein wirkliches Problem ? Genau dafür ist doch eine Firewall da ?!

Dein Netz ist zudem schwer zu verstehen weil du keinerlei Aussage machst ob die Sophos lediglich in einer Router_Kaskade betrieben wird oder wie das ganze Konstrukt generell betrieben wird bzw. WER WOHIN routen darf und wer nicht. :-( face-sad
Es würde sicher allen helfen wenn du eine kurze Skizze posten würdest die das etwas besser verdeutlich und verständlicher macht !
Mitglied: ChriBo
ChriBo 18.10.2021 um 17:40:10 Uhr
Goto Top
Hallo,
deine Regel auf der UTM ist wohl falsch.
ein Würgaround wäre: nimm auf der UTM anstelle /24 auf dem 172.16.51.0 er Netz die Maske /30.

Gruß
CH
Mitglied: newit1
newit1 18.10.2021 aktualisiert um 18:16:33 Uhr
Goto Top
@aqui
Sorry. Wahrscheinlich ist das Konstrukt nicht so leicht zu verstehen.
Unten ein kleines Schaubild. Ich hoffe das hilft.
Die Firewallregeln existieren ja bereits. Eine Verbindung ist trotzdem noch möglich.

test
Mitglied: aqui
aqui 18.10.2021 aktualisiert um 18:28:04 Uhr
Goto Top
Aber das ist ja nun der Simplesten einer...
An der Sophos etabliert man eine INboud Firewall Regel an ETH0
  • DENY IP Source: 172.16.50.0 /24 Destination: 172.16.51.0 /24
  • PERMIT IP Source: 172.16.50.0 /24 Destination: ANY
Man beachte die Reihenfolge des Regelwerkes !!
Bzw. wenn es beidseitg gelten soll ebenso eine INboud Firewall Regel an ETH1
  • DENY IP Source: 172.16.51.0 /24 Destination: 172.16.50.0 /24
  • PERMIT IP Source: 172.16.51.0 /24 Destination: ANY
Und schon ist das Problem erledigt und keiner kommt mehr aus dem .50er Netz ins .51er Netz und vice versa. Per se hast du also erstmal alles richtig gemacht wenn die Zuordnung der Regeln zu den Interfaces denn korrekt ist ?!
Mitglied: em-pie
em-pie 18.10.2021 um 22:02:56 Uhr
Goto Top
Moin,

unter Unständen reicht es auch aus, gar keine Regel für das „Transfernetz“ anzulegen, denn dann ist eh alles geblockt.

Du legst eine Regel an, die lautet:
Source: Network 172.16.50.0
Service: Any
Destination: „Internet IPv4 & Internet IPv6“
Dann dürften alle Nicht-RFC1918 (unter noch ein paar andere Sonderlocken) automatisch den Weg ins WWW finden; sofern die Routen stimmen…

Gruß
em-pie
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement8 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

general
Sicherheit beim Online-BankingWeyershausenVor 13 StundenAllgemeinSicherheitsgrundlagen18 Kommentare

Hallo, in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Reinigung der Apple Watch gelöst honeybeeVor 1 TagFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...