Beiträge von PhobosX

Sorry für den Doppelpost.

-Wie kann ich den nun mein Problem lösen? Es kann doch nicht sein, dass man solch einen trivialen Sachverhalt einfach nicht mit der Endian lösen kann.

Für jeden noch so kleinen Tipp wäre ich sehr dankbar.

VG!

Okay.
Also es klappt nach wie vor nicht mit den vorgeschlagenen Einstellungen (siehe Screenshot).

Wenn ich die vorletzte Regel deaktiviere sind die FB wenigstens nicht mehr aufrufbar. Zwar geht der WSUS dann auch nicht, aber ich deaktiviere die Regel einfach bevor ich Updates mache.

Das soll aber keine Dauerlösung sein. Für weitere Vorschläge wäre ich sehr dankbar.

VG!

Guten Morgen.

Ich nutze grundsätzlich den FF (neueste Version mit Adblock). Ist das problematisch?

VG

Hab ich,
funktioniert aber nicht :?

Also ich komme der Sache langsam näher.

Kann es sein, dass man das was ich möchte (nämlich dass der Terminalserver in der DMZ über Port 80+443 nach draußen darf, nicht aber ins LAN) so gar nicht realisieren kann?

Denn: Die Pakete von Orange gehen alle an RED (egal ob ich die HTTP Anfrage ans LAN/GREEN oder WAN/RED) und nicht an GREEN.

Im Browser rufe ich http://www.heise.de auf. Also geht "ORANGE" an "Port 80 RED". Das gleich passiert aber auch wenn ich die Fritzbox im LAN/GREEN aufrufe. Dann geht "ORANGE" an "Port 80 RED".

Es müsste aber "ORANGE" an "Port 80 GREEN" gehen.

Da ist doch ein Fehler...

Was meinst du?

Wenn ich nämlich einen Telnet 1433 auf eine IP Adresse in LAN/GREEN aufbaue wird das auch korrekt als "ORANGE" an "Port 1433 GREEN" angezeigt.

VG

Also bis auf Regel 1+2 sowie 16+17 sind das die Endian Standard-Regeln.

Ich habe nun bei Regel 1 noch Port 443 hinzugefügt und WSUS geht wieder.

Soweit so gut.

Regel 2 hast du mir ja so empfohlen.

Zitat von "Sabine"

Du machst „ über „ der alles verboten Regel eine neue Regel das Orange nach Rot über Port 80 raus darf . . . fertig . . 8-)

Also so:

Regel 10 : Orange darf auf Port 80 raus . .

Regel 11 : Orange alles verbieten.

Gruß Sabine

Ich schiebe nun 1+2 auf die letzten beiden Plätze und teste es eben.

Im Grunde muss ich jetzt nur noch realisieren, dass man aus Orange nicht (per Port 80) auf Green zugreifen kann.

VG

PS: DNS aus Orange hat auch so funktioniert!

EDIT: Brachte keine Besserung. Aus der DMZ sind die beiden Fritzboxen nach wie vor erreichbar.

Es ist zum Mäuse melken.

Ich habe alle Regeln "Inter-Zone Datenverkehr" deaktiviert. Nun sind nur noch die Regeln wie auf dem Screenshot zu sehen aktiv.

Nun funktioniert kein WSUS, dafür aber normales Browsen und der Zugriff aus der DMZ auf LAN (auf die beiden Fritzboxen) funktioniert nach wie vor.

Was läuft da bei der Endian schief?!?

Zitat von "Sabine"

Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?

Genau das soll er. Aber es funktioniert nicht. Es ist genau anders herum...der Server darf aus der DMZ ins LAN (GREEN) aber nicht ins Internet.

Die Regeln funktionieren einfach nicht wie sie sollen :roll:

Das sollte ja dann so aussehen, richtig?! (siehe Bilder)

Das hat genau den gegenteiligen Effekt: Der DMZ Server (hat übrigens die feste IP 192.168.101.2) darf nun auf die FB aus den LAN GREEN zugreifen, aber nicht ins Internet.

Es soll aber genau anders herum sein :mrgreen:

Hatte ich bereits versucht...oder habe ich explizit von Orange auf die IP Adresse der FB (als Beispielt) den Zugriff verboten...macht sie alles nicht.

Auch wenn ich eine Regel aktiviere bzw. deaktiviere dauert es lange bis die Änderung aktiv ist oder sogar gar nicht.

Ich denke es muss dringend eine neue FW her :roll:

Und kannst du bitte "Darf raus" in Endian-Sprache definieren!?

Ich habe das nun ja so gemacht, dass ich von Orange -> Rot alles verboten habe.

Nun ist das ja gut so, aber der Server soll von der DMZ aus ins Internet über Port 80 mit dem WSUS kommunzieren.

Wie stelle ich das nun am besten an?

Danke und VG!

Danke für deine Bestätigung!

Demnach funktioniert die Interzonen-Regelung schlicht nicht (was ich ja mit meinem Thread auch feststellen musste).

Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit :roll:

Aber danke dass du mir so gut weitergeholfen hast. Ich glaube ich wäre das fast zuletzt drauf gekommen, den ausgehenden Datenverkehr "zu regeln" um damit den internen Verkehr zwischen den Zones zu regeln

LG!

Tatsache, das klappt.

Aber dann verstehe ich den Sinn nicht. Warum betrifft das den ausgehenden Datenverkehr und nicht den Interzonenverkehr?

Vielen Dank und liebe Grüße!

Hat niemand einen Tipp?

VG

Hallo Community,
ich habe eine Verständnisfrage zur Endian UTM Mini, speziell dem Inter-Zone Datenverkehr.

Wir haben einen Terminalserver, welcher in der DMZ (ORANGE) steht.

Das interne LAN (GRÜN) erreicht die DMZ. Von der DMZ soll das interne LAN (GRÜN) nicht erreichbar sein (nur ausgewählte Ports/Dienste).

Soweit so gut.

In der Endian ist beim "Inter-Zone Datenverkehr" von GREEN>ORANGE alles offen, von ORANGE>GREEN hingegen nur ein Port (5769)

Vom Terminalserver erreicht man nun auch keine Server/Clients/etc. im LAN. Das passt soweit.

Nun sind an der Endian unter Netzwerk-Schnittstellen an LAN3+LAN4 jeweils FritzBox-Router dran (Main-WAN & WAN-Backup).

Und BEIDE FritzBoxen sind aus der DMZ erreichbar. Das verstehe ich nicht und ich konnte in den Port-Regeln, etc. auch nichts finden, was Zugriff auf die Boxen erteilt.

Ich hoffe mir kann jemand helfen und einen Tipp geben, woran es liegt.

Danke und Grüße!

Das stimmt auch wieder.

Wir sind bei KabelBW und haben eine 150/10 (DL/UL) Leitung mit fester statischer IPv4 Adresse.

Ob das jetzt DS-Lite (nicht DSL Lite) ist weiß ich gar nicht, werde ich aber recherchieren.

Danke für den Link

VG

So ist es ja nicht.

Wenn die Fritzbox im Bridge-Mode läuft reicht sie einfach alles durch...d.h. auch die DHCP Config von KabelBW.

Die FW bekommt dann die externe IP, SNM sowie das GW und den DNS zugewiesen.

Und genau dann gehen die Portregeln nicht mehr.

VG

Das leuchtet ja soweit ein, aber wenn der WAN Port auf DHCP steht muss doch trotzdem ein Forwarding funktionieren, weil man doch "Uplink Haupt-Uplink" bzw. "Uplink ANY" in den Regeln auswählt. Andernfalls sollte sich (für mein Dafürhalten) sofern der WAN Port so konfiguriert ist gar kein Portforwarding einstellen lassen, oder!?

VG

PS: Der Uplink wird immer noch als "DEAD" angezeigt.

Danke für die Infos.

Also es funktioniert nun alles. Ich habe die Konstellation nun provisorisch umgangen, in dem ich den WAN-Port der Endian nun an einen LAN-Port (und keinen Bridged-Port) angeschlossen habe.

Dann habe ich dem WAN-Port eine statische IP-Adresse aus dem Netz der FritzBox gegeben und als GW die FritzBox eingetragen. In der Fritzbox habe ich dann die entsprechenden Portweiterleitungen eingerichtet und schon gings durch.

Beim Uplink steht übrigens immer noch "DEAD" da :mrgreen:

Aber warum funktioniert das Portforwarding denn im DHCP-Modus nicht?! Bug oder Feature!?

VG

Hallo und vielen Dank für deine Nachricht.

Also ich habe es schon mit Any versucht und eben nochmal umgestellt.

Wie schaue ich mir die Logs an?

Es müsste ja was drin stehen, wenn ich von außen einen "Telnet öffentliche-IP 25" mache, oder!?

VG

EDIT:
Auch etwas kurios: Die Fritzbox dient ja als Modem und zeigt mir eine andere öffentliche IP Adresse an, wie bei der Endian auf dem WAN-Port.

Die Endian sagt beim Uplink "DEAD" und zeigt wie gesagt auch eine andere IP-Adresse an. Trotzdem besteht Internetzugriff.