Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Probleme

Hallo,

ich bin gerade dabei mir ein Test netzwerk aufzubauen und zu schauen wie das mit der DMZ Funktioniert.

Also ich habe einen PC mit:
eth1 extern
eth0: 192.168.168.42.70 MASK 255.255.192.0 --> intern
eth2: 192.168.64.1 MASK 255.255.192.0 --> DMZ

Als erstes habe ich die NAT für die DMZ Aktiviert um ins internet zu kommen.
Habe erst mal alles Freigeschaltet.
DMZ ( Netzwerk) --> Externe Internet / any 

Danach habe ich Paketfilter Regel gesetzt 
DMZ Network -->  Internet Extern /any
Internet Extern --> DMZ Netzwerk / any 

also ich bin mir bewusst das ich das any noch ändern muss aber ich wollte einfach mal testen ob es geht aber es geht leider nicht.

von meinen rechner im internen netz komme ich raus kein thema aber von dem DMZ rechner komme ich nicht ins internet.

vom internen netz kann ich die dmz nicht anpingen aber von der dmz ins interne geht es ...

also irgendwas stimmt da nicht.
sagt mir doch bitte einmal wo ich hier den denkfehler habe 
vielen dank


This thread was automatically locked due to age.
Parents Reply Children
  • Schau Dir mal das Objekt "Internet Extern" genauer an.

    Darunter versteht die Astaro nicht alle Ziele im Internet, sondern nur das Subnetz zwischen Deiner Astaro und dem Router Deines Internet-Provides, also ein relativ kleines Netz (wenn nicht sogar das kleinste /32-Netz als Hostroute).

    Wenn Du in einer Regel jeglichen Verkehr vom und zum Internet erlauben möchtest, musst Du mit dem vordefiniertem Objekt "Any" arbeiten.

    Damit wäre aber automatisch auch der Verkehr von der DMZ nach Intern freigeschaltet, da Any ja alles beinhaltet.

    Deshalb ist es besser, ein neues Any-Objekt zu definieren und dieses an die externe Schnittstelle zu binden. Unter diesem Objekt versteht man dann wirklich nur alle Ziele vom und zum Internet, die über das externe Internet-Interface gehen.

    MfG
    Manuel
  • danke für die info.

    Habe mir jetzt mal die Regel erstellt 
    Quelle: any 
    Dienst: any
    Source any

    das bedeutet ja so wie ich das verstehe egal woher etwas kommt egal welcher dienst es ist und egal wo es hingeht lass es durch.

    ja aber im Live-Protokoll: Packet filter sehe ich dann folgendes:

    14:58:27 Default DROP UDP 192.168.65.5 : 56160 
     → 192.168.42.70 : 53 
     len=61 ttl=128 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:1b:21:09:c9:39 
     

    14:58:31 Default DROP UDP 192.168.65.5 : 56160 
     → 192.168.42.70 : 53 
     len=61 ttl=128 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:1b:21:09:c9:39 
     

    14:58:46 Default DROP UDP 192.168.65.5 : 51401 
     → 192.168.42.70 : 53 
     len=61 ttl=128 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:1b:21:09:c9:39 
     

    also er nimmt mir das UDP raus das wird gedropt.

    wenn ich alles von und wohin frei mache sollte es ja normal gehen oder nicht ? 
    Ich verstehe es nicht mit meinen client komme ich wunderbar raus aber mit dem in der DMZ gar nicht.
    aber ich kann die DMZ schnitstelle anpingen und die firewall.
  • Kann es sein, dass sich hinter der IP 192.168.42.70 die Astaro selbst verbirgt?

    Das Any-Objekt enthält alle IP-Adressen ausser den Schnittstellen der Astaro selbst :-)

    Und wenn ich das richtig sehe, versucht da ein Client eine DNS-Anfrage an die Astaro zu schicken, das solltest Du also auf der Astaro erstmal freigeben. Die Astaro hat nämlich einige Regeln unter der Haube vordefiniert, die noch vor den selbst definierten Regeln im Paket-Filter greifen. Alles was übers WebAdmin an anderen Stellen konfiguriert wird, erscheint unter der Haube ebenfalls als Paketfilter mit höherer Priorität als das, was Du selbst im Paketfilter konfiguriert hast.

    Deshalb muss man keine eigenen Paketfilter-Regeln definieren, wenn man den DNS-, SMTP-, HTTP- oder FTP-Proxy der Astaro nutzt. Wenn man diese Dinge konfiguriert, werden die dazu nötigen Paketfilter-Regeln unter der Haube automatisch angelegt.

    Genauso sollte man wissen, dass als allerletzte Paketfilter-Regel, die immer da ist (obwohl sie nicht angezeigt wird) und nicht abgeschaltet werden kann, eine

    Any-Quelle, Any-Ziel, Any-Protokoll, DROP, Log

    Regel ausgeführt wird. D. h. alles was im Paketfilter nicht expliziet erlaubt wird, wird leise gedroppt und protokolliert.

    Ich empfehle ganz dringend, das vorhandene Informationsmaterial von Astaro zu nutzen:

    http://www.astaro.de/events/trainingsprogramm/astaro_fundamental_training
    http://www.astaro.de/events/astaro_webinars
    http://www.astaro.de/support/technische_videos

    Das ist alles kostenlos und damit erübrigen sich wirklich viele der hier gestellen Fragen. Vor allem helfen diese Informationsquellen, das Gesamt-Verständnis zu verbessern.

    MfG
    Manuel
  • ja hinter der 192.168.42.70 ist die astaro.
    wie kann ich das freigeben ? wie meinst du das ? 

    sorry bin noch nicht so fit in der sache baue mir ja auch nur ein test netzwerk auf...
  • danke schon mal für die vielen infos ich werde mir das mal anschauen ...
  • WebAdmin -> Network -> DNS -> Global -> Allowed Networks

    und in der Liste trägst Du das automatisch generierte DMZ-Netzwerk-Objekt ein bzw. alle Netzwerke, die die Firewall als DNS-Forwarder/Proxy/Server nutzen sollen.

    MfG
    Manuel
  • vielen dank für die Infos es hat funktioniert.

    Danke