Firewall-Einträge

Question

Gen&uuml;gt die AUTOMATISCH angelegte Firewall-Regel der SSL-VPN (via VPN-Client)? 
 Benutzer > ANY > Internal Network 
 oder muss ich manuell noch ein R&uuml;ckw&auml;rtseintrag anlegen? 
 
 Wie l&auml;uft das bei einer red10 trans/split)? 
 red(name) > ANY > internal (Network) ? Gen&uuml;gt das ebenfalls? 
 
 Die VPN-Clients sollen auf das Internal (Network) zugreifen k&ouml;nnen. Auf Nummer sicher k&ouml;nnte es ja so gehen: 
 Internal (Network) Internal (Network) 
 SSL VPN (Network) > ANY > SSL VPN (Network) 
 Red (Network) Red (Network) 
 
 Oder gen&uuml;gen die beiden oberen Eintr&auml;ge?

Jas Man · Answer

Hi Frank, 
 wenn Du lediglich von den VPN Clients / dem RED LAN auf das interne Netzwerk zugreifen willst, dann gen&uuml;gen die Eintr&auml;ge 
 VPN/RED -> ANY -> LAN. 
 Der R&uuml;ckkanal f&uuml;r die Antworten wird damit auch abgedeckt. 
 Nur wenn Du auch vom LAN auf die VPN Clients / das RED LAN zugreifen willst, ben&ouml;tigst Du zus&auml;tzlich die Regel 
 LAN -> ANY -> VPN/RED. 
 Die wird nicht automatisch angelegt. Alternativ kann man das auch mit einer Regel abdecken: 
 LAN/VPN/RED -> ANY -> LAN/VPN/RED 
 Sei noch erw&auml;hnt das man aus Sicht der Sicherheit m&ouml;glichst in keiner Regel "ANY" verwenden sollte. Best-Practise ist es, jeden Kommunikationsbeziehung zu identifizieren und explizit freizuschalten. Demnach w&auml;re es besser sowas wie 
 VPN/RED -> HTTP(S) -> LAN 
 anzulegen. Perfekt w&auml;re es so: 
 VPN Client A -> HTTP(S) -> LAN Webserver. 
 Also nicht global ein ganzes Netz freigeben, sondern wirklich nur die Kommunukationspartner die das ben&ouml;tigen. 
 Gru&szlig; 
 Jas