Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ kann auf interne Zone zugreifen - wie kann ich dies blockieren?

Hallo

Ich bin neu mit UTM 9.3 "unterwegs", habe aber einige Erfahrungen mit anderen Firewalls/UTMs/Router. Bei der UTM 9.3 von Sophos habe ich aber bei dem korrekten Einrichten der DMZ trotzdem ein Problem - von der DMZ mit privaten IP-Netz an einem eigenen Interface kann auf die interne Zone (ebenfalls mit eigenem Interface) zugegriffen werden. Das möchte ich aber aus verständlichen Gründen blockieren. Meine bisherige Konfiguration ist eigentlich sehr einfach:

public-Zone mit öffentlichem 29-Netz : 212.X.X.240/29
interne-Zone mit privat 24-Netz : 192.168.1.0/24
dmz-Zone mit privat 24-Netz :  192.168.2.0/24

Für die interne-Zone habe ich ein NAT-Masquerading-Rule angelegt:
- interne-Zone > public-Zone

Für die dmz-Zone habe ich für die beiden in der dmz-Zone befindlichen Server je eine DNAT- und eine SNAT-Rule eingefügt:
- DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
- SNAT : 192.168.2.10 > Any > Any : Sourc-Tras 212.X.X.243
...
Für alle DNAT- und SNAT-Rules habe ich jeweils die Option "Autmatic Firewall rule" aktiviert.

Bei den Firewall-Rules habe ich nur eine Rule eingetragen, damit das Internet funktioniert:
- interne-Zone > Any > Any : allow

Dann habe ich eine zweite Firewall-Rule an oberster Stelle eingesetzt um den Zugriff von der dmz- zur internen-Zone zu unterbinden.

- dmz > Any > Any : drop

Obwohl ich diese Rule gesetzt habe, kann ich weiter hin von der DMZ- Zone auf die Interne-Zone zugreifen. Wie ich gesehen habe befinden sich alle Automatischen Firewall-Rules die von den DNAT- und SNAT-Rules erzeugt haben vor meinen eigenen manuell erfassten. Es gibt keine Möglichkeit die drop-Rule an die Spitze zusetzen. Gleichzeitig beziehen sich aber die DNAT- und SNAT-Rules auf die Verbindung in Richtung public-Zone. Vom der Internen-Zone sollte ich auf die Server in der DMZ über deren public IPs zugreifen, damit die DNS-Auflösung auch korrekt ist.

Was ist zu beachten, damit die Netzwerk-zonen von einander getrennt werden können?

Es sind keine weiteren Dienst wie z.B. WebServer-Protection, Proxies etc. aktiviert.

Vielen Dank im Voraus!


This thread was automatically locked due to age.
Parents
  • Hallo Bob

    Vielen Dank für Deine Hinweise. 

    Wenn ich für die DNAT-Rule anstelle des "Any"-Objektes das "Internet IPv4"-Objekt wähle dann haben ich aus dem lokalen-Netzwerk keinen Zugriff mehr auf den Server in der DMZ, sondern es meldet sich die UTM selbst auf der öffentlich IP die eigentlich dem Server in der DMZ zu geordnet ist:

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10 | es meldet sich der Server mit internal IP 192.168.2.10

    hingegen 

    - DNAT : Internet IPv4 > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10 | es meldet sich die UTM 9 auf der Adresse 212.X.X.243

    Der erwähnte KnowledgeBase Artikel "Article ID: 115191 : Accessing Internal or DMZ Webserver ..." hatte ich so ziemlich als erstes ausprobiert (Konfigurationsbeispiel : "If the UTM is not used as a DNS forwarder" : auch in der richtigen Reihenfolge - also vor der entsprechenden DNAT-Rule, aber leider ohne Erfolg.

    Es ist etwas schade, dass es in den KnowledgeBase kein schlüssiger Artikel zu finden ist, in dem eine Beispiel Setup für eine DMZ mit dem Mapping von public IPs in die DMZ erläutert wird. Ich würde dies allenfalls gerne beitragen, allerdings macht das nur Sinn, wenn ich sicher sein kann, dass mein DMZ-Setup auch korrekt ist.
     
    Mit besten Grüssen und vielen Dank für die bisherigen Hinweise, relume
  • Hi,

    wenn extern von außen
    DNAT : Internet IPv4 > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10

    es fehlt noch Zugriff von innen

    DNAT : InternesNetz > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10

    da die internen IP der UTM bekannt sind, wird nie das interne Netz als Internet ankommen
Reply
  • Hi,

    wenn extern von außen
    DNAT : Internet IPv4 > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10

    es fehlt noch Zugriff von innen

    DNAT : InternesNetz > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10

    da die internen IP der UTM bekannt sind, wird nie das interne Netz als Internet ankommen
Children
No Data