Inter-Zone Datenverkehr ORANGE-GRÜN Ports ungwollt offen

Hallo Community,
ich habe eine Verständnisfrage zur Endian UTM Mini, speziell dem Inter-Zone Datenverkehr.

Wir haben einen Terminalserver, welcher in der DMZ (ORANGE) steht.

Das interne LAN (GRÜN) erreicht die DMZ. Von der DMZ soll das interne LAN (GRÜN) nicht erreichbar sein (nur ausgewählte Ports/Dienste).

Soweit so gut.

In der Endian ist beim "Inter-Zone Datenverkehr" von GREEN>ORANGE alles offen, von ORANGE>GREEN hingegen nur ein Port (5769)

Vom Terminalserver erreicht man nun auch keine Server/Clients/etc. im LAN. Das passt soweit.

Nun sind an der Endian unter Netzwerk-Schnittstellen an LAN3+LAN4 jeweils FritzBox-Router dran (Main-WAN & WAN-Backup).

Und BEIDE FritzBoxen sind aus der DMZ erreichbar. Das verstehe ich nicht und ich konnte in den Port-Regeln, etc. auch nichts finden, was Zugriff auf die Boxen erteilt.

Ich hoffe mir kann jemand helfen und einen Tipp geben, woran es liegt.

Danke und Grüße!

Hat niemand einen Tipp?

VG

Tatsache, das klappt.

Aber dann verstehe ich den Sinn nicht. Warum betrifft das den ausgehenden Datenverkehr und nicht den Interzonenverkehr?

Vielen Dank und liebe Grüße!

Danke für deine Bestätigung!

Demnach funktioniert die Interzonen-Regelung schlicht nicht (was ich ja mit meinem Thread auch feststellen musste).

Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit :roll:

Aber danke dass du mir so gut weitergeholfen hast. Ich glaube ich wäre das fast zuletzt drauf gekommen, den ausgehenden Datenverkehr "zu regeln" um damit den internen Verkehr zwischen den Zones zu regeln

LG!

Ich habe das nun ja so gemacht, dass ich von Orange -> Rot alles verboten habe.

Nun ist das ja gut so, aber der Server soll von der DMZ aus ins Internet über Port 80 mit dem WSUS kommunzieren.

Wie stelle ich das nun am besten an?

Danke und VG!

Hatte ich bereits versucht...oder habe ich explizit von Orange auf die IP Adresse der FB (als Beispielt) den Zugriff verboten...macht sie alles nicht.

Auch wenn ich eine Regel aktiviere bzw. deaktiviere dauert es lange bis die Änderung aktiv ist oder sogar gar nicht.

Ich denke es muss dringend eine neue FW her :roll:

Und kannst du bitte "Darf raus" in Endian-Sprache definieren!?

Das sollte ja dann so aussehen, richtig?! (siehe Bilder)

Das hat genau den gegenteiligen Effekt: Der DMZ Server (hat übrigens die feste IP 192.168.101.2) darf nun auf die FB aus den LAN GREEN zugreifen, aber nicht ins Internet.

Es soll aber genau anders herum sein :mrgreen:

Zitat von "Sabine"

Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?

Genau das soll er. Aber es funktioniert nicht. Es ist genau anders herum...der Server darf aus der DMZ ins LAN (GREEN) aber nicht ins Internet.

Die Regeln funktionieren einfach nicht wie sie sollen :roll:

Es ist zum Mäuse melken.

Ich habe alle Regeln "Inter-Zone Datenverkehr" deaktiviert. Nun sind nur noch die Regeln wie auf dem Screenshot zu sehen aktiv.

Nun funktioniert kein WSUS, dafür aber normales Browsen und der Zugriff aus der DMZ auf LAN (auf die beiden Fritzboxen) funktioniert nach wie vor.

Was läuft da bei der Endian schief?!?

Also bis auf Regel 1+2 sowie 16+17 sind das die Endian Standard-Regeln.

Ich habe nun bei Regel 1 noch Port 443 hinzugefügt und WSUS geht wieder.

Soweit so gut.

Regel 2 hast du mir ja so empfohlen.

Zitat von "Sabine"

Du machst „ über „ der alles verboten Regel eine neue Regel das Orange nach Rot über Port 80 raus darf . . . fertig . . 8-)

Also so:

Regel 10 : Orange darf auf Port 80 raus . .

Regel 11 : Orange alles verbieten.

Gruß Sabine

Ich schiebe nun 1+2 auf die letzten beiden Plätze und teste es eben.

Im Grunde muss ich jetzt nur noch realisieren, dass man aus Orange nicht (per Port 80) auf Green zugreifen kann.

VG

PS: DNS aus Orange hat auch so funktioniert!

EDIT: Brachte keine Besserung. Aus der DMZ sind die beiden Fritzboxen nach wie vor erreichbar.

Also ich komme der Sache langsam näher.

Kann es sein, dass man das was ich möchte (nämlich dass der Terminalserver in der DMZ über Port 80+443 nach draußen darf, nicht aber ins LAN) so gar nicht realisieren kann?

Denn: Die Pakete von Orange gehen alle an RED (egal ob ich die HTTP Anfrage ans LAN/GREEN oder WAN/RED) und nicht an GREEN.

Im Browser rufe ich http://www.heise.de auf. Also geht "ORANGE" an "Port 80 RED". Das gleich passiert aber auch wenn ich die Fritzbox im LAN/GREEN aufrufe. Dann geht "ORANGE" an "Port 80 RED".

Es müsste aber "ORANGE" an "Port 80 GREEN" gehen.

Da ist doch ein Fehler...

Was meinst du?

Wenn ich nämlich einen Telnet 1433 auf eine IP Adresse in LAN/GREEN aufbaue wird das auch korrekt als "ORANGE" an "Port 1433 GREEN" angezeigt.

VG