Posts by PhobosX

    Also ich komme der Sache langsam näher.


    Kann es sein, dass man das was ich möchte (nämlich dass der Terminalserver in der DMZ über Port 80+443 nach draußen darf, nicht aber ins LAN) so gar nicht realisieren kann?


    Denn: Die Pakete von Orange gehen alle an RED (egal ob ich die HTTP Anfrage ans LAN/GREEN oder WAN/RED) und nicht an GREEN.


    Im Browser rufe ich http://www.heise.de auf. Also geht "ORANGE" an "Port 80 RED". Das gleich passiert aber auch wenn ich die Fritzbox im LAN/GREEN aufrufe. Dann geht "ORANGE" an "Port 80 RED".


    Es müsste aber "ORANGE" an "Port 80 GREEN" gehen.


    Da ist doch ein Fehler...


    Was meinst du?


    Wenn ich nämlich einen Telnet 1433 auf eine IP Adresse in LAN/GREEN aufbaue wird das auch korrekt als "ORANGE" an "Port 1433 GREEN" angezeigt.


    VG

    Also bis auf Regel 1+2 sowie 16+17 sind das die Endian Standard-Regeln.


    Ich habe nun bei Regel 1 noch Port 443 hinzugefügt und WSUS geht wieder.


    Soweit so gut.


    Regel 2 hast du mir ja so empfohlen.



    Ich schiebe nun 1+2 auf die letzten beiden Plätze und teste es eben.


    Im Grunde muss ich jetzt nur noch realisieren, dass man aus Orange nicht (per Port 80) auf Green zugreifen kann.


    VG


    PS: DNS aus Orange hat auch so funktioniert!



    EDIT: Brachte keine Besserung. Aus der DMZ sind die beiden Fritzboxen nach wie vor erreichbar.

    Quote from "Sabine"

    Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?


    Genau das soll er. Aber es funktioniert nicht. Es ist genau anders herum...der Server darf aus der DMZ ins LAN (GREEN) aber nicht ins Internet.


    Die Regeln funktionieren einfach nicht wie sie sollen :roll:

    Hatte ich bereits versucht...oder habe ich explizit von Orange auf die IP Adresse der FB (als Beispielt) den Zugriff verboten...macht sie alles nicht.


    Auch wenn ich eine Regel aktiviere bzw. deaktiviere dauert es lange bis die Änderung aktiv ist oder sogar gar nicht.


    Ich denke es muss dringend eine neue FW her :roll:


    Und kannst du bitte "Darf raus" in Endian-Sprache definieren!? :)

    Danke für deine Bestätigung!


    Demnach funktioniert die Interzonen-Regelung schlicht nicht (was ich ja mit meinem Thread auch feststellen musste).


    Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit :roll:


    Aber danke dass du mir so gut weitergeholfen hast. Ich glaube ich wäre das fast zuletzt drauf gekommen, den ausgehenden Datenverkehr "zu regeln" um damit den internen Verkehr zwischen den Zones zu regeln ^^


    LG!

    Hallo Community,
    ich habe eine Verständnisfrage zur Endian UTM Mini, speziell dem Inter-Zone Datenverkehr.


    Wir haben einen Terminalserver, welcher in der DMZ (ORANGE) steht.


    Das interne LAN (GRÜN) erreicht die DMZ. Von der DMZ soll das interne LAN (GRÜN) nicht erreichbar sein (nur ausgewählte Ports/Dienste).


    Soweit so gut.


    In der Endian ist beim "Inter-Zone Datenverkehr" von GREEN>ORANGE alles offen, von ORANGE>GREEN hingegen nur ein Port (5769)


    Vom Terminalserver erreicht man nun auch keine Server/Clients/etc. im LAN. Das passt soweit.


    Nun sind an der Endian unter Netzwerk-Schnittstellen an LAN3+LAN4 jeweils FritzBox-Router dran (Main-WAN & WAN-Backup).


    Und BEIDE FritzBoxen sind aus der DMZ erreichbar. Das verstehe ich nicht und ich konnte in den Port-Regeln, etc. auch nichts finden, was Zugriff auf die Boxen erteilt.


    Ich hoffe mir kann jemand helfen und einen Tipp geben, woran es liegt.


    Danke und Grüße!

    Das leuchtet ja soweit ein, aber wenn der WAN Port auf DHCP steht muss doch trotzdem ein Forwarding funktionieren, weil man doch "Uplink Haupt-Uplink" bzw. "Uplink ANY" in den Regeln auswählt. Andernfalls sollte sich (für mein Dafürhalten) sofern der WAN Port so konfiguriert ist gar kein Portforwarding einstellen lassen, oder!?


    VG


    PS: Der Uplink wird immer noch als "DEAD" angezeigt.

    Danke für die Infos.


    Also es funktioniert nun alles. Ich habe die Konstellation nun provisorisch umgangen, in dem ich den WAN-Port der Endian nun an einen LAN-Port (und keinen Bridged-Port) angeschlossen habe.


    Dann habe ich dem WAN-Port eine statische IP-Adresse aus dem Netz der FritzBox gegeben und als GW die FritzBox eingetragen. In der Fritzbox habe ich dann die entsprechenden Portweiterleitungen eingerichtet und schon gings durch.


    Beim Uplink steht übrigens immer noch "DEAD" da :mrgreen:



    Aber warum funktioniert das Portforwarding denn im DHCP-Modus nicht?! Bug oder Feature!?


    VG

    Hallo und vielen Dank für deine Nachricht.


    Also ich habe es schon mit Any versucht und eben nochmal umgestellt.


    Wie schaue ich mir die Logs an?


    Es müsste ja was drin stehen, wenn ich von außen einen "Telnet öffentliche-IP 25" mache, oder!?


    VG



    EDIT:
    Auch etwas kurios: Die Fritzbox dient ja als Modem und zeigt mir eine andere öffentliche IP Adresse an, wie bei der Endian auf dem WAN-Port.


    Die Endian sagt beim Uplink "DEAD" und zeigt wie gesagt auch eine andere IP-Adresse an. Trotzdem besteht Internetzugriff.