Inter-Zone Datenverkehr ORANGE-GRÜN Ports ungwollt offen

  • Hallo Community,
    ich habe eine Verständnisfrage zur Endian UTM Mini, speziell dem Inter-Zone Datenverkehr.


    Wir haben einen Terminalserver, welcher in der DMZ (ORANGE) steht.


    Das interne LAN (GRÜN) erreicht die DMZ. Von der DMZ soll das interne LAN (GRÜN) nicht erreichbar sein (nur ausgewählte Ports/Dienste).


    Soweit so gut.


    In der Endian ist beim "Inter-Zone Datenverkehr" von GREEN>ORANGE alles offen, von ORANGE>GREEN hingegen nur ein Port (5769)


    Vom Terminalserver erreicht man nun auch keine Server/Clients/etc. im LAN. Das passt soweit.


    Nun sind an der Endian unter Netzwerk-Schnittstellen an LAN3+LAN4 jeweils FritzBox-Router dran (Main-WAN & WAN-Backup).


    Und BEIDE FritzBoxen sind aus der DMZ erreichbar. Das verstehe ich nicht und ich konnte in den Port-Regeln, etc. auch nichts finden, was Zugriff auf die Boxen erteilt.


    Ich hoffe mir kann jemand helfen und einen Tipp geben, woran es liegt.


    Danke und Grüße!

  • Hallo,


    Mach mal eine Regel unter Firewall \ Ausgehender Datenverkehr \ von Orange nach Rot alles verbieten . . . . dann geht auch nichts mehr raus . . 8-)


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Moin,


    unter Firewall \ Ausgehender Datenverkehr \ mache ich alle Regeln . . . unter Inter-Zone Datenverkehr habe ich alle regeln deaktiviert . . .


    Was sich Endian mit den Inter-Zone Datenverkehr Regel gedacht hat erschließt sich mir auch nicht . . das kenne ich von keiner Firewall . . wenn man ZB. Alle von Grün nach Grün verbietet , können sich trotzdem die Rechner im grünen Netz unterhalten . . die hängen ja an einem Switch und darüber läuft der Datenverkehr dann munter weiter . . :(


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Danke für deine Bestätigung!


    Demnach funktioniert die Interzonen-Regelung schlicht nicht (was ich ja mit meinem Thread auch feststellen musste).


    Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit :roll:


    Aber danke dass du mir so gut weitergeholfen hast. Ich glaube ich wäre das fast zuletzt drauf gekommen, den ausgehenden Datenverkehr "zu regeln" um damit den internen Verkehr zwischen den Zones zu regeln ^^


    LG!

  • Zitat

    Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit


    Naja . . . normalerweise macht man nur Regeln für die Weiterleitung und unter Firewall Regeln . . ist halt Endian . . :)

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Ich habe das nun ja so gemacht, dass ich von Orange -> Rot alles verboten habe.


    Nun ist das ja gut so, aber der Server soll von der DMZ aus ins Internet über Port 80 mit dem WSUS kommunzieren.


    Wie stelle ich das nun am besten an?



    Danke und VG!

  • Du machst „ über „ der alles verboten Regel eine neue Regel das Orange nach Rot über Port 80 raus darf . . . fertig . . 8-)


    Also so:


    Regel 10 : Orange darf auf Port 80 raus . .


    Regel 11 : Orange alles verbieten.


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hatte ich bereits versucht...oder habe ich explizit von Orange auf die IP Adresse der FB (als Beispielt) den Zugriff verboten...macht sie alles nicht.


    Auch wenn ich eine Regel aktiviere bzw. deaktiviere dauert es lange bis die Änderung aktiv ist oder sogar gar nicht.


    Ich denke es muss dringend eine neue FW her :roll:


    Und kannst du bitte "Darf raus" in Endian-Sprache definieren!? :)

  • Sollt so Funktionieren . . habe da auch so mehrfach laufen . . . allerdings haben die Server eine feste IP . . . und die Regel mache ich von der IP auf Rot . .


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?


    Oder willst du von Grün nach Orange ?


    Dann Regel von Grün / Port 80 / auf IP in die DMZ

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Zitat von "Sabine"

    Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?


    Genau das soll er. Aber es funktioniert nicht. Es ist genau anders herum...der Server darf aus der DMZ ins LAN (GREEN) aber nicht ins Internet.


    Die Regeln funktionieren einfach nicht wie sie sollen :roll:

  • Es ist zum Mäuse melken.


    Ich habe alle Regeln "Inter-Zone Datenverkehr" deaktiviert. Nun sind nur noch die Regeln wie auf dem Screenshot zu sehen aktiv.


    Nun funktioniert kein WSUS, dafür aber normales Browsen und der Zugriff aus der DMZ auf LAN (auf die beiden Fritzboxen) funktioniert nach wie vor.


    Was läuft da bei der Endian schief?!? :|

  • Moin,
    Regel NR. 12 mit DMZ auf DNS kann schon mal nicht Funktionieren ! ! !


    Regel NR. 13 kann auch nicht gehen !


    Da hast ja oben alles mit Regel NR. 2 verboten ! :?


    Dadurch das DNS nicht geht ( weil ja oben alles schon verboten ist ) kann der WSUS auch keine Adressen im Internet auflösen ! ! ! :shock:


    Orange würde ich alle nach unten schieben !


    Regel NR. 2 kommt an die letzte Stelle !


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Also bis auf Regel 1+2 sowie 16+17 sind das die Endian Standard-Regeln.


    Ich habe nun bei Regel 1 noch Port 443 hinzugefügt und WSUS geht wieder.


    Soweit so gut.


    Regel 2 hast du mir ja so empfohlen.



    Ich schiebe nun 1+2 auf die letzten beiden Plätze und teste es eben.


    Im Grunde muss ich jetzt nur noch realisieren, dass man aus Orange nicht (per Port 80) auf Green zugreifen kann.


    VG


    PS: DNS aus Orange hat auch so funktioniert!



    EDIT: Brachte keine Besserung. Aus der DMZ sind die beiden Fritzboxen nach wie vor erreichbar.

  • Also ich komme der Sache langsam näher.


    Kann es sein, dass man das was ich möchte (nämlich dass der Terminalserver in der DMZ über Port 80+443 nach draußen darf, nicht aber ins LAN) so gar nicht realisieren kann?


    Denn: Die Pakete von Orange gehen alle an RED (egal ob ich die HTTP Anfrage ans LAN/GREEN oder WAN/RED) und nicht an GREEN.


    Im Browser rufe ich http://www.heise.de auf. Also geht "ORANGE" an "Port 80 RED". Das gleich passiert aber auch wenn ich die Fritzbox im LAN/GREEN aufrufe. Dann geht "ORANGE" an "Port 80 RED".


    Es müsste aber "ORANGE" an "Port 80 GREEN" gehen.


    Da ist doch ein Fehler...


    Was meinst du?


    Wenn ich nämlich einen Telnet 1433 auf eine IP Adresse in LAN/GREEN aufbaue wird das auch korrekt als "ORANGE" an "Port 1433 GREEN" angezeigt.


    VG