Frage zur DMZ

1. offizieller Beitrag

    Hallo zusammen

    Ich wollte mal fragen, ob es möglich ist, in der EFW (Community) eine 2. DMZ einzurichten, die von der 1. getrennt ist und auch ihren eigenen Adressraum hat.
    Hintergrund ist, dass wir einen Teil der Server am liebsten in einer anderen Zone unterbringen wollen, für die noch weniger Regeln gelten sollen und somit die eine oder andere Portlücke weniger besteht.

    Grüße

    DasP

    Eigentlich haste Recht^^

    Nun ne andere Frage (will dafür nichts extra aufmachen)....und zwar läuft meine FW soweit, nur hab ich das Problem, dass ich nicht auf Rechner zugreifen kann, die in in der anderen Zone liegen.
    Also Grün -> Grün ist möglich, Grün -> Rot auch, aber Grün -> Orange nicht...umgekehrt das gleiche Spiel.

    Meine momentane landschaft ist folgendermaßen:
    Mehrere Server: .16.x Netz
    Clients: .17.x Netz
    Alte Firewall (EFW 2.2) : hört auf 16.1 und 17.1
    Neue Firewall (EFW 2.3) : hört auf 16.2 und 17.2

    Der Testrechner nutzt die neue FW als Gateway und es ist egal, ob ich dann einen Rechner anpinge, der als GW die alte FW hat oder die neue, solange sie in der gleichen Zone sind
    Lass ich den Testrechner die alte FW als GW nehmen (17.1) hab ich absolut keine Probleme

    PS: Hab die Konfiguration der alten FW per Backup und Reload in die neue FW übernommen

    • Offizieller Beitrag

    Hallo DasP,
    um von Grün auf Orange zu kommen musst du eine neue Firewall Regel erstellen, Quelle = Netzwerk IP, Ziel = Orange.
    Wenn du von Orange nach Grün kommst hast du keine DMZ mehr !
    Das ist ja Sinn und Zweck der Sache, Orange von Grün zu trennen.

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    du musst in der 2.3 die Interzonen-Firewall aktivieren. Die Regeln sollten standardmäßig aktiviert sein dass du von Grün nach Orange kannst. Sonst hat Sabine recht. Regel von Orange nach Grün nicht öffnen --> keine DMZ. Wenn du explizit ein Admin-Laptop von Orange nach Grün erlauben willst mach das mit MAC-Filterung. Da gibts die MAC-Adresse des Laptop ein und erlaubst den Zugriff auf Grün.

    Gruß ELE

    Einmal editiert, zuletzt von ELE (25. März 2010 um 08:40)

    Gut....hat sich alles als weitaus weniger schwer herausgestellt^^

    Das Problem: kein Zugang von Grün auf Organge:
    Lösung/Grund: Die Rechner hinter Orange haben feste IPs und n festes Gateway, also mal fix Addressen getauscht und siehe da, es geht^^

    Hi DasP,

    ich weiß zwar nicht was du geändert hast aber die IP's der Rechner in der Orangen-Zone sollten auf jeden Fall mit dem Netz übereinstimmen was in der Endian als Orange-Netzwerkkarte eingestellt ist. Das sollte für die Clients auch das Standardgateway sein.

    Gruß ELE

    Zitat von "ELE"

    Hi DasP,

    ich weiß zwar nicht was du geändert hast aber die IP's der Rechner in der Orangen-Zone sollten auf jeden Fall mit dem Netz übereinstimmen was in der Endian als Orange-Netzwerkkarte eingestellt ist. Das sollte für die Clients auch das Standardgateway sein.

    Gruß ELE

    Ja das ist auch so.....sollten alle gleich sein^^
    Naja, heute sollte es dann soweit sein, dass die FW in Produktivbetrieb geht (gab n paar wichtigere Sachen davor zu erledigen).
    Nun ist uns aber folgendes Problem/Phänomen augetreten:
    ich hab zwei netze, .17.x(intra) und .16.x(dmz)....wenn ich eine ssh verbindung aus .17.x ausgehend aufbaue, geht das ohne probleme.
    versuch ich das gleiche von einem rechner aus .16.x erhalte ich keine verbindung, was aber wichtig ist, da die firewall auch von dort aus administrierbar sein sollte.
    also die alte version wieder angeschlossen(es wurden an der keine veränderungen vorgenommen sondern nur netzwerkkabel gezogen) und hier ist auf einmal das gleiche problem...vorher ging alles einwandfrei...
    hat wer nen geistesblitz?

    ps: und ja ich durchforsch gerade das netz

    pps: hat sich erledigt.....grad gefunden an was es gelegen haben muss....in den firewall einstellungen gibt es ja den reiter system access.
    hier hab ich testweise mal eingegen dass port 22 für alle zugänglich ist..nun klappt es.
    was mich aber verwundert....vorher war hier nie was eingegeben und es hat immer super geklappt...