Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 6878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ kann auf interne Zone zugreifen - wie kann ich dies blockieren?

relume
Hallo

Ich bin neu mit UTM 9.3 "unterwegs", habe aber einige Erfahrungen mit anderen Firewalls/UTMs/Router. Bei der UTM 9.3 von Sophos habe ich aber bei dem korrekten Einrichten der DMZ trotzdem ein Problem - von der DMZ mit privaten IP-Netz an einem eigenen Interface kann auf die interne Zone (ebenfalls mit eigenem Interface) zugegriffen werden. Das möchte ich aber aus verständlichen Gründen blockieren. Meine bisherige Konfiguration ist eigentlich sehr einfach:

public-Zone mit öffentlichem 29-Netz : 212.X.X.240/29
interne-Zone mit privat 24-Netz : 192.168.1.0/24
dmz-Zone mit privat 24-Netz :  192.168.2.0/24

Für die interne-Zone habe ich ein NAT-Masquerading-Rule angelegt:
- interne-Zone > public-Zone

Für die dmz-Zone habe ich für die beiden in der dmz-Zone befindlichen Server je eine DNAT- und eine SNAT-Rule eingefügt:
- DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
- SNAT : 192.168.2.10 > Any > Any : Sourc-Tras 212.X.X.243
...
Für alle DNAT- und SNAT-Rules habe ich jeweils die Option "Autmatic Firewall rule" aktiviert.

Bei den Firewall-Rules habe ich nur eine Rule eingetragen, damit das Internet funktioniert:
- interne-Zone > Any > Any : allow

Dann habe ich eine zweite Firewall-Rule an oberster Stelle eingesetzt um den Zugriff von der dmz- zur internen-Zone zu unterbinden.

- dmz > Any > Any : drop

Obwohl ich diese Rule gesetzt habe, kann ich weiter hin von der DMZ- Zone auf die Interne-Zone zugreifen. Wie ich gesehen habe befinden sich alle Automatischen Firewall-Rules die von den DNAT- und SNAT-Rules erzeugt haben vor meinen eigenen manuell erfassten. Es gibt keine Möglichkeit die drop-Rule an die Spitze zusetzen. Gleichzeitig beziehen sich aber die DNAT- und SNAT-Rules auf die Verbindung in Richtung public-Zone. Vom der Internen-Zone sollte ich auf die Server in der DMZ über deren public IPs zugreifen, damit die DNS-Auflösung auch korrekt ist.

Was ist zu beachten, damit die Netzwerk-zonen von einander getrennt werden können?

Es sind keine weiteren Dienst wie z.B. WebServer-Protection, Proxies etc. aktiviert.

Vielen Dank im Voraus!


This thread was automatically locked due to age.
Parents
  • 0
    Hallo Sascha

    Vielen Dank für Deine ausführliche Erläuterungen. Soweit glaube ich das "Konzept" der sophos UTM 9 verstanden zu haben.

    Ich habe nun die SNAT-Rule für den einen Server im DMZ-Netz so geändert, dass "Going To" nun anstelle vom "Any" auf das "Internet IPv4"-Objekt lautet: 

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
    - SNAT : 192.168.2.10 > Any > "Internet IPv4 : Sourc-Tras 212.X.X.243

    Der gewünschte Effekt, dass der Server sowohl mit seiner lokalen DMZ-IP (192.168.2.10) aber auch mit seiner publik IP (212.X.X.243) ansprechbar ist, gleichzeitig aber vom Server aus keine Verbindung in das interne Netz (192.168.1.0/24) aufgebaut werden können, ist so erfüllt. Als Einschränkung zu dieser Aussage ist dieser Server leider nun aber aus dem DMZ heraus - also vom zweiten Server 192.168.2.11 im DMZ-Netz - über seine public IP (212.X.X.243) nicht mehr ansprechbar. Es fehlt also nun so etwas wie eine korrekten Zurück-Umsetzung von der DMZ über die public IP in die DMZ.

    Das kann ich nur mit einer zusätzlichen SNAT-Rule erreichen:

    - SNAT : 192.168.2.10 > Any > "DMZ-Zone:net" : Sourc-Tras 212.X.X.243

    Insgesamt habe ich dann pro Server in der DMZ drei NAT-Rules:

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
    - SNAT : 192.168.2.10 > Any > "DMZ-Zone:net" : Sourc-Tras 212.X.X.243
    - SNAT : 192.168.2.10 > Any > "Internet IPv4 : Sourc-Tras 212.X.X.243


    Mir scheint das etwas kompliziert - ist das aber tatsächlich korrekt?

    Vielen Dank und beste Grüsse
Reply
  • 0
    Hallo Sascha

    Vielen Dank für Deine ausführliche Erläuterungen. Soweit glaube ich das "Konzept" der sophos UTM 9 verstanden zu haben.

    Ich habe nun die SNAT-Rule für den einen Server im DMZ-Netz so geändert, dass "Going To" nun anstelle vom "Any" auf das "Internet IPv4"-Objekt lautet: 

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
    - SNAT : 192.168.2.10 > Any > "Internet IPv4 : Sourc-Tras 212.X.X.243

    Der gewünschte Effekt, dass der Server sowohl mit seiner lokalen DMZ-IP (192.168.2.10) aber auch mit seiner publik IP (212.X.X.243) ansprechbar ist, gleichzeitig aber vom Server aus keine Verbindung in das interne Netz (192.168.1.0/24) aufgebaut werden können, ist so erfüllt. Als Einschränkung zu dieser Aussage ist dieser Server leider nun aber aus dem DMZ heraus - also vom zweiten Server 192.168.2.11 im DMZ-Netz - über seine public IP (212.X.X.243) nicht mehr ansprechbar. Es fehlt also nun so etwas wie eine korrekten Zurück-Umsetzung von der DMZ über die public IP in die DMZ.

    Das kann ich nur mit einer zusätzlichen SNAT-Rule erreichen:

    - SNAT : 192.168.2.10 > Any > "DMZ-Zone:net" : Sourc-Tras 212.X.X.243

    Insgesamt habe ich dann pro Server in der DMZ drei NAT-Rules:

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
    - SNAT : 192.168.2.10 > Any > "DMZ-Zone:net" : Sourc-Tras 212.X.X.243
    - SNAT : 192.168.2.10 > Any > "Internet IPv4 : Sourc-Tras 212.X.X.243


    Mir scheint das etwas kompliziert - ist das aber tatsächlich korrekt?

    Vielen Dank und beste Grüsse
Children
No Data
Unfiltered HTML