newit1
Goto Top

Sophos UTM Routing zwischen Interfaces

Hallo zusammen,

ich brauche mal wieder eure Hilfe.

An einem Außenstandort haben wir eine Sophos SG UTM (IP:172.16.50.1/24) im Einsatz.

Dort habe ich ein neues Interface angelegt. Das Interface hat die IP: 172.16.51.2/24
Default Gateway für dieses Interface ist die 172.16.51.1/24.
Die 172.16.51.1 ist ein Lancom Router an dem der Internetanschluss letztlich konfiguriert ist.

Nun ist es so, dass ich durch das Anlegen des Interfaces Zugriff vom Netz 172.16.50.X auf das gesamte 172.16.51.X Netz habe.
Das möchte ich nur ungern.

Die Idee war, lediglich das Surfen über diesen Anschluss zu ermöglichen.
Ich habe bereits versucht mit Firewall Regeln den Zugriff zu verbieten. Allerdings erfolglos...


Welche Möglichkeiten habe ich noch um das zu realisieren?


Besten Dank für eure Tipps.

Content-ID: 1402631481

Url: https://administrator.de/contentid/1402631481

Printed on: October 11, 2024 at 14:10 o'clock

aqui
aqui Oct 18, 2021 updated at 15:22:48 (UTC)
Goto Top
Der Lancom benötigt dann eine statische Route: Zielnetz: 172.16.50.0, Maske: 255.255.255.0, Gateway: 172.16.51.2
Anlegen des Interfaces Zugriff vom Netz 172.16.50.X auf das gesamte 172.16.51.X Netz habe.
Wozu hast du eine Firewall ??
Der kundige Netzwerk Admin legt ein Regelwerk entweder in der UTM oder dem Lancom (oder beidem) an je nach Absender IP was dann den Zugriff auf das .51.0er Netz verhindert ?!
Wo ist denn nun dein wirkliches Problem ? Genau dafür ist doch eine Firewall da ?!

Dein Netz ist zudem schwer zu verstehen weil du keinerlei Aussage machst ob die Sophos lediglich in einer Router_Kaskade betrieben wird oder wie das ganze Konstrukt generell betrieben wird bzw. WER WOHIN routen darf und wer nicht. face-sad
Es würde sicher allen helfen wenn du eine kurze Skizze posten würdest die das etwas besser verdeutlich und verständlicher macht !
ChriBo
ChriBo Oct 18, 2021 at 15:40:10 (UTC)
Goto Top
Hallo,
deine Regel auf der UTM ist wohl falsch.
ein Würgaround wäre: nimm auf der UTM anstelle /24 auf dem 172.16.51.0 er Netz die Maske /30.

Gruß
CH
newit1
newit1 Oct 18, 2021 updated at 16:16:33 (UTC)
Goto Top
@aqui
Sorry. Wahrscheinlich ist das Konstrukt nicht so leicht zu verstehen.
Unten ein kleines Schaubild. Ich hoffe das hilft.
Die Firewallregeln existieren ja bereits. Eine Verbindung ist trotzdem noch möglich.

test
aqui
aqui Oct 18, 2021 updated at 16:28:04 (UTC)
Goto Top
Aber das ist ja nun der Simplesten einer...
An der Sophos etabliert man eine INboud Firewall Regel an ETH0
  • DENY IP Source: 172.16.50.0 /24 Destination: 172.16.51.0 /24
  • PERMIT IP Source: 172.16.50.0 /24 Destination: ANY
Man beachte die Reihenfolge des Regelwerkes !!
Bzw. wenn es beidseitg gelten soll ebenso eine INboud Firewall Regel an ETH1
  • DENY IP Source: 172.16.51.0 /24 Destination: 172.16.50.0 /24
  • PERMIT IP Source: 172.16.51.0 /24 Destination: ANY
Und schon ist das Problem erledigt und keiner kommt mehr aus dem .50er Netz ins .51er Netz und vice versa. Per se hast du also erstmal alles richtig gemacht wenn die Zuordnung der Regeln zu den Interfaces denn korrekt ist ?!
em-pie
em-pie Oct 18, 2021 at 20:02:56 (UTC)
Goto Top
Moin,

unter Unständen reicht es auch aus, gar keine Regel für das „Transfernetz“ anzulegen, denn dann ist eh alles geblockt.

Du legst eine Regel an, die lautet:
Source: Network 172.16.50.0
Service: Any
Destination: „Internet IPv4 & Internet IPv6“
Dann dürften alle Nicht-RFC1918 (unter noch ein paar andere Sonderlocken) automatisch den Weg ins WWW finden; sofern die Routen stimmen…

Gruß
em-pie