Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 5759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ + Webserver + VLANs = trotzdem Zugriff auf die DMZ?

PascalN

Hallo zusammen,

ich habe mir folgendes aufgebaut:

 

UTM eth0 = WAN

UTM eth1 = LAN 192.168.0.0/24  ---- TPLink TL-SG3424 an Port 5

UTM eth7 = DMZ 10.0.0.0/24    -----  TPLink TL-SG3424 an Port 2

DMZ Webserver (per WAF) = 10.0.0.10  ---- TPLink TL-SG3424 an Port 6

DMZ Client = 10.0.0.11   ----- TPLink TL-SG3424 an Port 4

WLAN Client = 192.168.0.XX über AP55 am TL-SG3424P

 

Folgendes Setup auf dem TPLink:

Port 24 Trunk, PVID 1

802.1Q VLAN DMZ 100 Members 2,4,6,8,24 | 2,4,6,8 untagged - General, PVID=100 

802.1Q VLAN LAN 101 Members 1,3,5,7,9-24 | 1,3,5,7,9-23 untagged - General, PVID=101

802.1Q VLAN WAN 102 Members 1-24 

 

TL-SG3424 hängt mit Port 24 an einem TL-SG3424P ebenfalls an Port 24. VLAN Config auf dem TL-SG3424P:

Port 24 Trunk, PVID 1

802.1Q VLAN DMZ 100 Members 24

802.1Q VLAN DMZ 101 1-24 | 1-23 untagged - General PVID 101

802.1Q VLAN DMZ 102 1-24

 

So, nun zu meiner Frage/Problem. 

1. kann ich mit einem WLAN Client, den Webserver in der DMZ pingen, den DMZ Client wiederum nicht

2. kann ich mit dem Webserver auf bestimmt Ports im LAN zugreifen, also Webseiten innerhalb des LAN bzw. telnet auf Port 80.

 

Ich habe gelesen, dass dafür der Proxy verantwortlich ist. Finde aber keine Einstellung mit der ich das Regeln könnte. Außerdem dachte ich dem, mit den VLANs, entgegen zu wirken. Aber da habe ich anscheinend ein Verständnis Problem.

Warum kann ich also von LAN den DMZ WEBSERVER pingen, den DMZ CLIENT aber nicht und warum kann der DMZ WEBSERVER Ports im LAN erreichen? Bitte erforderlichen Infos von mir, bitte gezielt abfragen. Ich denke bevor, ich Euch hier meine komplette UTM Konfig poste, macht das evtl. mehr Sinn :)

 

Danke

Pascal



This thread was automatically locked due to age.
  • 0

    Hallo Pascal,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Welcome to the UTM Community!

    1. In order to do that, you will need to remove the check mark from 'Firewall forwards pings' on the 'ICMP' tab and create your own, manual firewall rules.

    2. By default, all traffic is blocked unless you create a firewall rule allowing it.  In the case of wanting to allow the webserver to access the internal LAN, if you want to do that selectively, there are three steps - I assume Web Filtering is in Transparent mode:

    1. On the 'Misc' tab of 'Filtering Options', add the Host object for the DMZ webserver to the Source Skiplist.
    2. On the 'Misc' tab of 'Filtering Options', add the "(Network)" object of the LAN to the Destination Skiplist, de-select 'Allow HTTP/S traffic for listed hosts/nets' and hit [Apply]
    3. Make a firewall rule allowing the traffic you want to let pass.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    danke für deine Antwort. Ich hatte vorher schon alle Haken bei "ICMP" ab-gehakt. Punkt 2. habe ich erledigt, kann jedoch immer noch von LAN ind die DMZ pingen und per HTTPS von (W)LAN auf den DMZ Webserver zugreifen. Gelöst wurde damit, dass der Webserver nun kein Telnet mehr auf das LAN machen kann. Immerhin etwas :)

     

    Hebelt die Sophos meine VLAN Konfiguration aus oder habe ich da einen Fehler. Ich dachte, durch die VLANs dürfte ich nun auch nicht mehr auf die DMZ. Oder muss das DMZ Interface ein "Ethernet VLAN" Interface sein?

     

    Hier meine Firewall Regeln:

     

    Danke im Voraus

    Pascal

  • 0 in reply to PascalN

    " kann jedoch immer noch von LAN ind die DMZ pingen und per HTTPS von (W)LAN auf den DMZ Webserver zugreifen."

    You have no firewall rule that would allow that ping.  If you're still able to ping in spite of having de-selected that on the 'ICMP' tab, then there must be some direct connection that doesn't transit the UTM.  You might want to watch for pings arriving at the UTM with tcpdump.  Firewall rule 14 should not allow the Guest Wireless to access the DMZ.  13 allows "Internal (Network)" to access the DMZ.  If you're not inspecting HTTPS with Web Filtering, then the traffic is handled by your manual firewall rule.

    If you were to replace "Any" in rule 18 with "Internet," you could delete 19.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Ok,

    13 habe ich deaktiviert und kann trotzdem auf HTTPS vom DMZ Webserver. 18 und 19 waren nur Tests, deswegen auch deaktiviert. Ich muss noch mal meine VLANs auf den Switchen prüfen. Das habe ich glaube ich nicht richtig konfiguriert. Muss ich denn auf ETH7 (DMZ) das VLAN konfigurieren? Wenn ich die Ports am Switch auf untagged stehen habe, ist das eigentlich nicht notwendig oder?

Unfiltered HTML