Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ kann auf interne Zone zugreifen - wie kann ich dies blockieren?

Hallo

Ich bin neu mit UTM 9.3 "unterwegs", habe aber einige Erfahrungen mit anderen Firewalls/UTMs/Router. Bei der UTM 9.3 von Sophos habe ich aber bei dem korrekten Einrichten der DMZ trotzdem ein Problem - von der DMZ mit privaten IP-Netz an einem eigenen Interface kann auf die interne Zone (ebenfalls mit eigenem Interface) zugegriffen werden. Das möchte ich aber aus verständlichen Gründen blockieren. Meine bisherige Konfiguration ist eigentlich sehr einfach:

public-Zone mit öffentlichem 29-Netz : 212.X.X.240/29
interne-Zone mit privat 24-Netz : 192.168.1.0/24
dmz-Zone mit privat 24-Netz :  192.168.2.0/24

Für die interne-Zone habe ich ein NAT-Masquerading-Rule angelegt:
- interne-Zone > public-Zone

Für die dmz-Zone habe ich für die beiden in der dmz-Zone befindlichen Server je eine DNAT- und eine SNAT-Rule eingefügt:
- DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
- SNAT : 192.168.2.10 > Any > Any : Sourc-Tras 212.X.X.243
...
Für alle DNAT- und SNAT-Rules habe ich jeweils die Option "Autmatic Firewall rule" aktiviert.

Bei den Firewall-Rules habe ich nur eine Rule eingetragen, damit das Internet funktioniert:
- interne-Zone > Any > Any : allow

Dann habe ich eine zweite Firewall-Rule an oberster Stelle eingesetzt um den Zugriff von der dmz- zur internen-Zone zu unterbinden.

- dmz > Any > Any : drop

Obwohl ich diese Rule gesetzt habe, kann ich weiter hin von der DMZ- Zone auf die Interne-Zone zugreifen. Wie ich gesehen habe befinden sich alle Automatischen Firewall-Rules die von den DNAT- und SNAT-Rules erzeugt haben vor meinen eigenen manuell erfassten. Es gibt keine Möglichkeit die drop-Rule an die Spitze zusetzen. Gleichzeitig beziehen sich aber die DNAT- und SNAT-Rules auf die Verbindung in Richtung public-Zone. Vom der Internen-Zone sollte ich auf die Server in der DMZ über deren public IPs zugreifen, damit die DNS-Auflösung auch korrekt ist.

Was ist zu beachten, damit die Netzwerk-zonen von einander getrennt werden können?

Es sind keine weiteren Dienst wie z.B. WebServer-Protection, Proxies etc. aktiviert.

Vielen Dank im Voraus!


This thread was automatically locked due to age.
  • (Sorry, my German-speaking brain again won't create thoughts. [:(])

    If the Full NAT suggested in that article didn't work, that's another indication that the Host definition used in the DNAT for your server in the DMZ violates #3 in Rulz.

    I'm not good about looking at thread or post titles - I just now saw that!  You might be interested in a document I maintain, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this, click on my name beside the Cyrano avatar and send me an email requesting it.  I also maintain a version auf Deutsch translated by fellow member hallowach when he and I did a major revision in 2013.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA