Hallo zusammen,
ich habe ein Problem mit dem Inhaltsfilter auf meiner Endian, er läuft nicht mehr.
Der Dienst ist gestartet, die Regeln zum Blocken entsprechend eingestellt und auch eine Zugriffsrichtlinie im Proxy defniert. Hat jemand von euch eine Idee, woran es liegen könnte, dass Seiten nicht mehr ordnungsgemäß abgeblockt werden?
Danke für eure Hilfe und viele Grüße,
scrymate
Hallo Sabine,
danke für deine Antwort. Die Blau/Blau, Grün/Grün und Orange/Orange-Regeln sind noch vom Installieren da. Die sollte ich löschen, da hast du recht. Macht ja nur Sinn den Verkehr zu kontrollieren, wenn er auch über die FW geht.
Ansonsten ist in den anderen FW-Regeln nur der übliche Kram von Grün/Orange/Blau in Richtung der ROTEN Zone geregelt.
Was ich mir vorstellen könnte ist, dass der Proxy (der sitzt ja nun mal an allen drei Netzen) die Verbindungen einfach durchschleust, auch wenn diese untersagt ist. Das wäre natürlich nen krasser Bug. Was mich aber wundert ist, dass ich eben ohne Proxy, bei erlaubten Verbindungen von Grün zu Blau keine Verbindung bekomme.
Viele Grüße,
scrymate
Hallo zusammen,
ich habe folgende Kuriosität über die InterZone-Firewall zu berichten:
Ich habe eine Endian 2.5.1 im Einsatz. Grüne, Blau und Orangene Zone.
Grün 192.168.101.0/24
Blau 192.168.105.0/24
Orange 192.168.100.0/24
Ich habe den gesamten Verkehr von Grün nach Blau geblockt. Ich möchte nicht, das interne Rechner sich mit dem WLAN-Netzwerk in Verbindung setzen können. Lediglich die IP des WLAN-AP ist weiterhin erlaubt. Der Clou ist, dass ich nicht auf den WLAN-AP komme (http). In den FW-Logs finden sich aber keine Hinweise auf die gedropte Verbindung. Verrückter wird es jedoch, sobald ich den Proxy im Browser aktiviere. Schwupp die wupp lande ich auf dem WLAN-AP - ohne Probleme. Um dem weiter nachzugehen, habe ich meine Außnahme für die IP des WLAN-AP wieder gelöscht. Es ist also sämtlicher Verkehr zwischen grüner und blauer Zone verboten. Jetzt aber der Hammer: Mit aktivierten Proxy im Browser komme ich immer noch auf den AP.
Entweder bin ich mittlerweile etwas betriebsblind geworden und habe irgendwie/-wo vergessen den brühmten "Haken" zu setzen, oder das ist irgendwas ganz schön faul.
Wie ist das bei euch? Läuft die InterZone problemlos? Habt ihr mal mit ähnlichen Problemen zu kämpfen gehabt?
Gruß, scrymate
EDIT
Hab noch ein Bild angefügt. Wie die eigentliche Konfig ist. Wenn ich die erste Regel halt lösche komme ich trotzdem noch auf den AP. Wenn die Regel aktiv ist eben aber nicht direkt, sondern nur über den Proxy. Muss ich noch irgendwelche statischen Routen oder so definieren? Werde hier schon ganz kribbelig 
- bei meine alten kleinen juniper lief das so.
Danke schön !
Mhhh das habe ich bisweilen auch heraus gefunden. Danke dir aber für deinen Beitrag 
Weiß einer wo die Rules im Datei-System liegen? Ich würde die mir wirklich gerne ansehen, damit ich auch konkret weiß was da passiert. Das eigentliche aktivieren/deaktivieren ohne zu Wissen was da so richtig konkret hintersteckt missfällt mir ein bisschen.
Gruß scrymate
Hallo Thomas,
ich hatte das Problem ebenfalls schon einmal. Zwar nicht mit Debian <-> Endian, aber vielleicht hilft dir meine Antwort ja trotzdem weiter.
Warum auch immer muss bei mir damals das Zertifikat in irgendeiner Weise leicht angepasst worden sein (ich frage mich bis heute wie das bei einem Zertifkat geht und es weiter seine Gültigkeit aber egal ...). Ich habe das "neue" Zertifikat exportiert und musste dann leider in den saueren Apfel beißen und 10 VPN-CLients mit diesem "neuen" Zertifikat auszustatten. Die OpenVPN-Config musste ich auch leicht anpassen, dass hatte aber keine Gründe die mit dem Zertifikat zusammenhingen, aber so ein Review kann ab und an ja nicht schaden. Vielleicht steht in der Konfig noch ein etwas anderer Aufbau drin, den Endian, im Gegensatz zu Debian, so nicht interpretieren kann. Try it :).
Viele Grüße,
scrymate
EDIT:
Fällt mir gerade noch ein, elementares Basic, aber die Uhrzeiten auf Client/Endian ist auch ordentlich syncron? Das kann auch zu Zertifikatsfehlern führen.
Hallo zusammen,
ich bin seit einer Hand voll Wochen dabei mich mit der Endian-Firewall zu beschäftigen. Im Augenblick bin ich, was die SNORT-Regeln angeht, aber anscheinend auf dem Holzweg. Ich habe SNORT als solches aktiviert und es funktioniert auch prima. Ein paar simulierte Angriffe wurden sowohl geloggt, als auch geblockt. Allesdings komme ich mit dem Regel-Editor so gar nicht klar. Vielleicht kann mir das jemand von euch bitte kurz erläutern (siehe Screenshot). Ich vermisse da sowohl das editieren der Regeln, als auch das hinzufügen etc. SNORT als solches ist mir bekannt, aber ich habe es noch nicht im Kontext mit Endian in Augenschein genommen. Mein "googlen" war auch nicht sonderlich erfolgreich. Also baue ich einfach mal auf euch
Danke!!!
scrymate
