0.0.0.0/0 und private Netze (z.B. 192.168.0.0/24)

Guten Tag,

ich bin neu im Forum und habe eine einfache Frage.

Muss ich etwas berücksichtigen, wenn mein Any Eintrag 0.0.0.0/0 lautet und ich private Netze im Einsatz habe ?

Viele Grüße

Michael

  • Moin,

    also ich vermeide Any so gut wie es geht. Mit Any kann man zwar sehr einfach funktionierende Ergebnisse bekommen, besser ist aber die Kontrolle mit spezifischen Regeln zu behalten.

    Beispiel:

    Oft wird folgender Fehler gemacht, wenn man einfach nur eine Internetregel haben möchte:

    Internes Netzwerk --> http, https --> ANY

    Klar, nun kann man im internet surfen, aber es wird hier vergessen dass der Zieleintrag ANY überall hingeht, auch übergreifend zu den eigenen weiteren Netzwerken.

    Somit kann man dann auch mit http,https auf das eigene DMZ Netzwerk zugreifen, was viele nicht beachten. Da Any überall hin heißt und auch somit zb. die DMZ beinhaltet...

    besser ist immer folgende Regel --> Internes Netzwerk --> http, https --> Internet IPv4 / Internet IPv6.

    Somit hat nur das interne Netzwerk http(s) Zugriff auf das Internet (via Gateway).

    Dies als Denkanstoß. Ach ja, als Neuling auch die Regelreihenfolge beachten, da die Regeln absteigend von oben nach unten abgearbeitet werden ;-)

  • Moin,

    ich bin dabei auf der Firewall aufzuräumen.

    Dabei habe ich die folgenden Netzwerkdefinitionen gefunden:

    Ich sehe keinen Unterschied zwischen <Any>,<Any IPv4> und <Internet>. Gerne würde ich den Rat von Jonas92 folgen und die Any-Einträge reduzieren.

    Kann mir bitte jemand den Unterschied diesen Einträgen erläutern ?

    Ist meine Vermutung richtig, dass der Eintrag Any von meinem Vorgänger erstellt wurde und Internet vom System kommt ?

    Kann ich, ohne Probleme zu bekommen, meine Any-Einträge (Netzwerkdefinition) durch Internet ersetzen ?

  • Moin,

    ist doch ganz einfach, dies beschreibt die Beschreibung der Definitionen ja bereits welche vom System erstellt worden sind (standard):

    -> Any --> ipv4 und ipv6 kann überall hin (... eigene Netzwerkschnittstellen / Internet = überall) - nicht optimal

    -> Any IPv4 -> nur ipv4 wird berücksichtigt und kann überall hin (...eigene Netzwerkschnittstellen / Internet = überall) - nicht optimal

    -> Any IPv6 -> nur ipv6 wird berücksichtigt und kann überall hin (...eigene Netzwerkschnittstellen / Internet = überall) - nicht optimal

    -> Internet (später unterteilt in Internet iPv4 & Internet IPv6) -> ipv4 und ipv6 kann überall hin, wo das Ziel hinter der Gateway Schnittstelle liegt = NUR INTERNET) -> Realisiert durch die Bindung an die Default Gateway Schnittstelle oder wie hier in deinem Fall die Uplink Interfaces (2 default GWs)

    Klar kannst du von Any auf Internet gehen, dies sollte bei den meisten Regeln kein Problem sein. Wenn etwas nicht funktioniert, erstelle dafür eine zielgerichtete Regel. Dies sollte auch immer so sein, da dann vorher die erfolgreiche "Funktionsfähigkeit" missbräuchlich durch die Any Regel realisiert worden ist.

  • Hallo Michael,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    WebAdmin is a GUI that manipulates databases of objects and settings.  A single change there can cause the Configuration Daemon to rewrite hundreds of lines of the code used to run the UTM.  I've seen very talented CCIEs be confused about how UTM should be configured.

    As Jonas explains above, the "Internet" objects are bound to the "Uplink Interfaces" which your internal subnets are not.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA