Welcome to the Sophos User Bulletin Board.
If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.

Reply
 
LinkBack Thread Tools Display Modes
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#1 (permalink)  
Old 02-26-2011, 04:05 PM
Default 2 Netze getrennt an einer Astaro betreiben

Hallo,
ich benötige etwas Hilfe. Vermutlich eine einfache Sache
Bis jetzt kann der Rechner aus Netz 3 auf Daten von Netz 2 zugreifen.
Was muss ich einstellen oder ändern damit das verhindert wird?

An meiner Astaro sind 3 Schnittstellen.

Die 1. für DSL,
die 2. für das Netzwerk -> IP 192.168.1.1 Netzmaske 255.255.255.0
und eine 3. für separate Rechner - >IP 192.168.2.1 Netzmaske 255.255.255.248
Das Netz 2 und 3 dürfen nicht miteinander kommunizieren.
Beide Netze gehen über die 1. Schnittstelle online.

Folgende Regeln habe ich eingestellt:
Nat Regel
Netz3 (Network) --> 1 DSL

Parketfilterregeln (Internet)
Netz3 (Network) --> Any


Vielen Dank
Gruss Mario
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100

Last edited by mario2; 02-26-2011 at 06:23 PM.
Reply With Quote
Junior Member
Join Date: Oct 2009
Posts: 13
#2 (permalink)  
Old 02-26-2011, 10:05 PM
Default

Moin

wenn ich dich richtig verstanden habe soll das Netz3 lediglich auf das Internet zugreifen aber nicht auf das Netz2 welches du angelegt hast.

Wenn die Regel die du angelegt hast, wie folgt aussieht:
Source -> Service -> Destinantion -> Aktion
Netz3 -> any -> Any -> allow
erklärt das warum das Netz3 auf das Netz2 zugreifen kann. Mit dieser Regel erlaubst Netz3 auf alles und jedes Netz zu zugreifen. Wenn du nur das Internet erlauben möchtest gibt es in den definition's ein extra Internet Objekt.

Wenn du an erster Stelle deines Regelwerkes eine Regel wie folgt erstellst verhinderst du das Netz2 auf Netz3 zugreifen kann.
Source -> Service -> Destinantion -> Aktion
Netz3 -> any -> Netz2 -> deny

In dieser Regel darfst du als Destination natürlich nicht Any eintragen denn ansonsten darf das Netz3 auf gar nichts mehr zugreifen.


MFG
tandaril
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#3 (permalink)  
Old 02-27-2011, 09:04 AM
Default

Danke für den Tip. Leider kann ich immer noch auf das andere Netz zugreifen. Ich hänge mal ein Bild von den Regeln an.
Ich habe noch Zugriff von Out-Net auf Netzwerk

Gruss Mario
Attached Images
File Type: jpg astaro.jpg (39.5 KB, 43 views)
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100
Reply With Quote
r2k r2k is offline
Senior Member
Join Date: Apr 2009
Posts: 216
#4 (permalink)  
Old 02-27-2011, 09:47 AM
Default

Hi Mario,

was schreibt das Packetfilter Log dazu? Mit welchem Service (ping, http, smtp,...???) greifst du zu?

Liebe Grüsse
Marco
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#5 (permalink)  
Old 02-27-2011, 01:26 PM
Default

Ich habe jetzt etwas getestet. Wenn ich den HTTP-Proxy ausschalte, worüber beide Netzwerke laufen, dann kann keiner mehr mit dem anderen kommunizieren.

Schalte ich den HTTP-Proxy wieder ein, kann ich im Live-Log vom HTTP/S sehen wie der Rechner 192.168.2.2 mit dem anderen Netz 192.168.1.211 Verkehr zulässt.

Code:
2011:02:27-15:11:56 astaro httpproxy[2676]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.2" dstip="192.168.1.211" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="84" time="407 ms" request="0xa3e6df68" url="http://webbox.mb/home.ajax" exceptions="" error="" country="N/A" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"

Im Paketfilter-Log ist nichts wichtiges zu sehen.

Ist das normal mit dem HTTP Proxy ?? Er läuft bei mir im transparent Modus.
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#6 (permalink)  
Old 02-27-2011, 01:30 PM
Default

Quote:
Originally Posted by r2k View Post
Hi Mario,

was schreibt das Packetfilter Log dazu? Mit welchem Service (ping, http, smtp,...???) greifst du zu?

Liebe Grüsse
Marco
Es sind alles http Zugriffe auf verschiedene Webinterfaces
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100
Reply With Quote
r2k r2k is offline
Senior Member
Join Date: Apr 2009
Posts: 216
#7 (permalink)  
Old 02-27-2011, 01:51 PM
Default

Hi Mario,

ja das ist "normal".

Andere Dienste sollten geblockt werden. Nur eben HTTP nicht, wegen dem Proxy.

Mach mal im Webproxy unter Advanced das interne Netz in die Transparent mode skiplist Liste
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#8 (permalink)  
Old 02-27-2011, 03:28 PM
Default

Quote:
Originally Posted by r2k View Post
Hi Mario,

ja das ist "normal".

Andere Dienste sollten geblockt werden. Nur eben HTTP nicht, wegen dem Proxy.

Mach mal im Webproxy unter Advanced das interne Netz in die Transparent mode skiplist Liste
Hallo, das hat leider nichts gebracht, ich habe immer noch Zugriff.

Gruss Mario
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100
Reply With Quote
mario2's Avatar
Member
Join Date: May 2007
Location: Deutschland
Posts: 36
#9 (permalink)  
Old 02-28-2011, 07:13 PM
Default

Hier eine kurze Zusammenfassung um was es hier geht !!!

Kennt jemand eine Möglichkeit, 2 unterschiedliche Netzwerke an einer Astaro mit aktiven HTTP Proxy(transparent Modus) zu betreiben. Die beiden Netzwerke dürfen nicht mit einander kommunizieren. Es darf auch kein HTTP Verkehr untereinander ausgetauscht werden. Beide Netzwerke gehen über eine 3 Netzwerkkarte online.

Ist dies überhaubt möglich?

Danke
Gruss Mario
__________________
Sophos UTM9 - Intel Atom N2800 | 4 GB DDR3-1066 | Intel Desktop Board DN2800MT | Jetway Mini-PCIe 2x Gigabit LAN i350 | APC Smart UPS750 RM | Home User License 100
Reply With Quote
Member
Join Date: Feb 2011
Location: Hamburg, Germany
Posts: 34
#10 (permalink)  
Old 03-01-2011, 04:57 PM
Default

Habe aktuell genau das gleiche Problem.

Habe auch schon Regeln gemacht die den Verkehr verbieten. (Bzw alle anderen Regeln sind nur NETZ->Service->Internet IPv4).
Eigentlich sollte dann ja auch die Default DROP Regel greifen. Tut sie aber auch nicht.

Es geht trotzdem. Was ganz blöd ist. Da so ein Gastnetz auch auf meine TK-Anlage kommt.

Der Paketfilter schein nur in Richtung WAN & VPN zu greifen.
Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are On



All times are GMT. The time now is 11:01 AM.


Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2015, Jelsoft Enterprises Ltd.

These pages are specifically maintained for the discussion of firewall issues within the Open Source community, and might already reflect new alpha/beta releases under development. Please refer to our product specifications for the functionality of the actual release. Discussions of new/enhanced functionality does not constitute a commitment of Astaro, to integrate this functionality into future releases.