Sophos UTM9 im Heimeinsatz auf ESXi Server

Jepp nun geht alles hatt danach noch ein kleines DNS Problem aber nun schaut es super aus...
Aber habe da noch eine Frage.
Die Rules die ich in der Firewall anlege sind die für den Ausgehenden Traffic oder den Hereinkommenden?
Passt das wenn ich das UTM Gateway nun in der DMZ stehen habe?

Ich habe nun Regeln für folgende Service erstellt:
HTTP, HTTPS, SSL IMAP, SSL SMTP, NTP und DNS erlaubt:
und zwar Internes Netz --> (oben aufgelistete Service) --> Any

Passt das nun so? Ist das sicher? Oder würdet ihr den Server nicht in die DMZ stellen???
Sind Die Regeln die ich erstellt habe nun nur für herausgehenden Traffic oder ?

Für hereinkommenden würde ich teoretisch:
Any --> (z.B. HTTP) --> Internes Netz 

machen oder wie würde das dann ausschauen?

Grundsätzlich ist die Firewall "Stateful", das bedeutet, wenn Du eine Regel nach dem Muster erstellst Internes Netz --> HTTP --> Any, dann merkt sich die Firewall diese Verbindung und läßt auch die zugehörigen Antwortpakete rein. Du mußt hierfür KEINE Regel im Stile von Any --> (z.B. HTTP) --> Internes Netz  erstellen!
Wenn Du Dich weiter mit dem Handbuch beschäftigst wirst Du entdecken, daß es diverse Proxy Dienste (wie z.B. WebSecurity = HTTP/S Proxy) gibt.
Als Faustregel würde ich Dir empfehlen: 
1. Wenn es einen Proxy für einen Dienst gibt (wie eben den HTTP Proxy) würde ich diesen auch benutzen, da er i.d.R. mehr Funktionalität (in diesem Fall ContentFilter, VirusScan) als eine einfache PaketFilter Regel. 
Wenn Du den also den Proxy benutzt, mußt Du nicht zusätzlich eine PacketFilterRegel pflegen, im Gegenteil: Dann würdest Du erlauben, am Proxy vorbei zu gehen.
2. Gibt es keinen vorgefertigten Dienst/Proxy auf dem System gibt, wirst Du eine ausgehende Filterregel erstellen (müssen).
3. Eingehende Filterregeln benötigst Du i.d.R. nur dann, wenn Du selbst einen Server im Internet (z.B. SMTP, HTTP) bereit stellen willst. Hierzu gibt es genügend Beispiele in der KnowledgeBase und auch hier im Forum.

In Deinem Beispiel könntest Du
- für HTTP/S den Proxy unter WebSecurity
- für DNS die Weiterleitung unter /Network Services /DNS
- für NTP den NTP Server unter  /Network Services /NTP
einrichten.

Ich hoffe, das war verständlich. Je später der Abend, umso komplizierter meine Formulierungen ;-)

Grüße, Karsten

Grundsätzlich ist die Firewall "Stateful", das bedeutet, wenn Du eine Regel nach dem Muster erstellst Internes Netz --> HTTP --> Any, dann merkt sich die Firewall diese Verbindung und läßt auch die zugehörigen Antwortpakete rein. Du mußt hierfür KEINE Regel im Stile von Any --> (z.B. HTTP) --> Internes Netz  erstellen!
Wenn Du Dich weiter mit dem Handbuch beschäftigst wirst Du entdecken, daß es diverse Proxy Dienste (wie z.B. WebSecurity = HTTP/S Proxy) gibt.
Als Faustregel würde ich Dir empfehlen: 
1. Wenn es einen Proxy für einen Dienst gibt (wie eben den HTTP Proxy) würde ich diesen auch benutzen, da er i.d.R. mehr Funktionalität (in diesem Fall ContentFilter, VirusScan) als eine einfache PaketFilter Regel. 
Wenn Du den also den Proxy benutzt, mußt Du nicht zusätzlich eine PacketFilterRegel pflegen, im Gegenteil: Dann würdest Du erlauben, am Proxy vorbei zu gehen.
2. Gibt es keinen vorgefertigten Dienst/Proxy auf dem System gibt, wirst Du eine ausgehende Filterregel erstellen (müssen).
3. Eingehende Filterregeln benötigst Du i.d.R. nur dann, wenn Du selbst einen Server im Internet (z.B. SMTP, HTTP) bereit stellen willst. Hierzu gibt es genügend Beispiele in der KnowledgeBase und auch hier im Forum.

In Deinem Beispiel könntest Du
- für HTTP/S den Proxy unter WebSecurity
- für DNS die Weiterleitung unter /Network Services /DNS
- für NTP den NTP Server unter  /Network Services /NTP
einrichten.

Ich hoffe, das war verständlich. Je später der Abend, umso komplizierter meine Formulierungen ;-)

Grüße, Karsten

Danke für die Ausführliche Beschreibung.
Mit dem Proxy für WebSecurity meinst du Web Application Firewall oder?
Trage ich hier auch das User Portal der Sophos UTM 9 selbst ein?

Übrigens gibt es für die Astaro 8 bzw Sophos 9 auch ein Deutsches Handbuch habe nur das Englische gefunden. Ansonsten muss ich mich mit dem Englischen rumschlagen. Den bisher habe ich nur das hier gefunden: Sophos UTM Appliance administration guide

es funktioniert auch sehr gut, wenn ich statt eines Routers die UTM direkt mit PPPo an einem Port einrichte und diesen über ein reines DSL Modem anschließe.
So erreiche ich auch eine Ausfallsicherheit, wenn ich mehrere DSL Leitungen unterschiedlicher Provider nutze und den Uplink-Ausgleich in der UTM einrichte.[:)]

Was gut geht ist fritzbox also dsl Modem WLAN aktiv für Telefonie über die fritzbox und Einzahl über ppoe der utm

AVM unterstützt schon seit eine paar Monaten kein PPPoE-Passthrough mehr in ihren aktuelleren Firmware-Versionen. Somit kann man die Fritzboxen auch nicht mehr als DSL-Modem nutzen; es sei denn, man spielt eine alte Firmware ein.

In die Falle bin ich letztens reingerannt. Update gemacht, und die Option im Menü war weg. Mußte mir dann erstmal von AVM eine alte Version zuschicken lassen, weil auf deren Servern immer nur die aktuelle zum Download liegt.

Ist wohl je nach Modell teilweise schon seit Anfang letzten Jahres so.

Habe es bei mir aber auch immer noch genauso laufen, wie du schon beschrieben hast. Fritzbox als DSL-Modem und dahinter die Astaro. Bekomme in der Fritzbox nur das VoIP leider nicht ans laufen, weil die Box sagt, sie hätte keine Internetverbindung. Von der Telnet-Konsole aus kann ich aber (nachdem ich Gateway und DNS-Server manuell angepasst habe) problemlos ins Internet pingen, also wird da wohl irgendwas nicht gestartet in der Box :-(

Bin aber schon auf der Suche nach einem DSL-Modem mit Webinterface, auf dem man dann die DSL-Parameter und Verbindungsqualität usw. sehen kann. Das ist ja gerade das nette Feature in der FritzBox, auf das ich ungerne verzichten möchte. Hilft bei DSL-Problemen doch schon manchmal.

Auf jeden Fall hätte ich mit einem separaten Modem das VoIP Problem nicht mehr.

cu,
  Dino

AVM unterstützt schon seit eine paar Monaten kein PPPoE-Passthrough mehr in ihren aktuelleren Firmware-Versionen. Somit kann man die Fritzboxen auch nicht mehr als DSL-Modem nutzen; es sei denn, man spielt eine alte Firmware ein.

Huh. Danke für den Hinweis, ist mir gar nicht aufgefallen.

Mir auch nicht. Ich hatte eine ältere 7270 hier als DSL Modem rumwerkeln und mir auf eBay dann noch eine 7390 geschossen. Die wollte ich auch wieder als Modem einsetzen, habe dann aber als allererstes mal ein Update gemacht und mich gewundert, wo plötzlich die Option im Menü hin ist.

Hätte ich das direkt bei der 7270 gemacht, wäre ich erstmal längere Zeit offline gewesen :-/

Danke für die Ausführliche Beschreibung.
Mit dem Proxy für WebSecurity meinst du Web Application Firewall oder?
Trage ich hier auch das User Portal der Sophos UTM 9 selbst ein?

WebSecurity ist ein anderer Bereich und nicht zu verwechseln mit WebApplicationFirewall!
Mit WebSecurity aktivierst Du unter WebFiltering einen HTTP/S-Proxy, den Du in Deinem Browser eintragen kannst um Deine Rechner beim Surfen zu schützen. Beinhaltet unter anderem einen Virenscanner und ContentFiltering.
WebApplicationFirewall benötigst Du nur, wenn Du selbst einen Server bereit stellen möchtest, der von aussen erreichbar ist und diesen schützen möchtest.

Unter /Support /Manual kann man das Handbuch in verschiedenen Sprachen herunter laden.

Alle Angaben beziehen sich auf Version 8, ich komme erst in den kommenden Tagen dazu, auf UTM9 upzudaten.