Ethernet VLAn Interface(s) routing zwischen VLAN´s

Mahlzeit,

 

ich bin bei dem Thema Sophos UTM ein wenig überfragt. Ich habe Zwei SG230 im HA übernommen und bin wegen der virtuellen Interfaces gedanklich nicht ganz bei mir.

 

Es gibt insgesamt 6 Interfaces: 2 externe Zugänge (Inet), 5 interne Interfaces. Eins dieser internen Interfaces hat mehrere VLAN´s (ca. 15). 

IP des UTM: 192.168.1.1

VLAN_Gast_WLAN(vid:4): 192.168.4.0/24

VLAN_Intern(vid:1): 192.168.1.1/24

Obwohl ich mit mehreren Rules versucht habe, die Kommunikation zu unterbinden, klappt diese weiterhin. Hat jemand eine Idee, wie ich das unterbinden kann?

 

Grüße

  • Gibt es evtl eine Firewall-Regel, welche vor deinen Verboten den Verkehr zulässt? Evtl. gut versteckt unter den automatisch erstellten?

  • In reply to jk1984:

    Eigentlich nicht.

    Habe jetzt eine neue Regel erstellt:

    Source: WLAN-Guest(Network) -> Any -> VLAN_INT -> Reject. Die Regel steht an erster Stelle. Sprich First-Match sollte eintreten.

    Kommunikation erfolgt trotzdem. Bin etwas ratlos.

     

    Grüße

  • In reply to Cengiz Pirasa:

    Hallo Cengiz,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    You haven't said what test shows that there's communication allowed by the Guest network into your Internal network, so I'll guess that you're browsing to a webserver.  In this case, you will want to add "VLAN_INT (Network)" to the destination Transparent Mode Skiplist on the 'Misc' tab of 'Web Protection >> Filtering Options'.  You will also need to de-select 'Allow HTTP/S traffic for listed hosts/nets' under that box and add new firewall Allow rules to allow any desired traffic.

    To understand better what's happening, see #2 in Rulz.  Also see Doug Foster's take on some of this: READ ME FIRST: UTM Architecture.

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi :),

     

    also gut, weiterhin "in German". 

    Es geht um den ganzen Verkehr: ICMP, SMB und Web.

     

    Grüße

  • In reply to Cengiz Pirasa:

    Hi :),

    ICMP is regulated on the 'ICMP' tab of 'Firewall' - see 2.3 in Rulz.

    SMB uses ports 445 (CIFS) and 139 (NETBIOS SSN).  Look in 'Definitions & Users >> Service Definitions' for those services using Find 139|445 and press the blue button to the right of each to see if there's an active rule for them.  Please show a picture of the Edit of the firewall "Any" rule.

    My post above shows what to do about the web traffic.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Moin,

     

    ICMP Block von VLAN4 -> VLAN1 und VLAN5 - erster Regel nach den Auto-Installed-Rules:

     

     

    CIFS:

     

    SMB:

     

    Grüße

  • In reply to Cengiz Pirasa:

    If you read my post above and looked at #2 in Rulz, you know that your ICMP Block rule has no effect when ICMP is allowed on the 'ICMP' tab.

    The last picture indicates that "SMB 139" is used in 'SMB File Transfers" - please show a picture of that.

    Cheers - Bob