Frage zur DMZ

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Frage zur DMZ

      Hallo zusammen

      Ich wollte mal fragen, ob es möglich ist, in der EFW (Community) eine 2. DMZ einzurichten, die von der 1. getrennt ist und auch ihren eigenen Adressraum hat.
      Hintergrund ist, dass wir einen Teil der Server am liebsten in einer anderen Zone unterbringen wollen, für die noch weniger Regeln gelten sollen und somit die eine oder andere Portlücke weniger besteht.

      Grüße

      DasP
    • Re: Frage zur DMZ

      Eigentlich haste Recht^^

      Nun ne andere Frage (will dafür nichts extra aufmachen)....und zwar läuft meine FW soweit, nur hab ich das Problem, dass ich nicht auf Rechner zugreifen kann, die in in der anderen Zone liegen.
      Also Grün -> Grün ist möglich, Grün -> Rot auch, aber Grün -> Orange nicht...umgekehrt das gleiche Spiel.

      Meine momentane landschaft ist folgendermaßen:
      Mehrere Server: .16.x Netz
      Clients: .17.x Netz
      Alte Firewall (EFW 2.2) : hört auf 16.1 und 17.1
      Neue Firewall (EFW 2.3) : hört auf 16.2 und 17.2

      Der Testrechner nutzt die neue FW als Gateway und es ist egal, ob ich dann einen Rechner anpinge, der als GW die alte FW hat oder die neue, solange sie in der gleichen Zone sind
      Lass ich den Testrechner die alte FW als GW nehmen (17.1) hab ich absolut keine Probleme

      PS: Hab die Konfiguration der alten FW per Backup und Reload in die neue FW übernommen
    • Re: Frage zur DMZ

      Hallo DasP,
      um von Grün auf Orange zu kommen musst du eine neue Firewall Regel erstellen, Quelle = Netzwerk IP, Ziel = Orange.
      Wenn du von Orange nach Grün kommst hast du keine DMZ mehr !
      Das ist ja Sinn und Zweck der Sache, Orange von Grün zu trennen.

      Gruß Sabine
      EFW Version im Einsatz:

      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.0.5
      2 x 2.5.1
      8 x 2.2 Final
      1 x 2.3 Für mobilen Einsatz
    • Re: Frage zur DMZ

      du musst in der 2.3 die Interzonen-Firewall aktivieren. Die Regeln sollten standardmäßig aktiviert sein dass du von Grün nach Orange kannst. Sonst hat Sabine recht. Regel von Orange nach Grün nicht öffnen --> keine DMZ. Wenn du explizit ein Admin-Laptop von Orange nach Grün erlauben willst mach das mit MAC-Filterung. Da gibts die MAC-Adresse des Laptop ein und erlaubst den Zugriff auf Grün.

      Gruß ELE

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von ELE ()

    • Re: Frage zur DMZ

      Hi DasP,

      ich weiß zwar nicht was du geändert hast aber die IP's der Rechner in der Orangen-Zone sollten auf jeden Fall mit dem Netz übereinstimmen was in der Endian als Orange-Netzwerkkarte eingestellt ist. Das sollte für die Clients auch das Standardgateway sein.

      Gruß ELE
    • Re: Frage zur DMZ

      "ELE" schrieb:

      Hi DasP,

      ich weiß zwar nicht was du geändert hast aber die IP's der Rechner in der Orangen-Zone sollten auf jeden Fall mit dem Netz übereinstimmen was in der Endian als Orange-Netzwerkkarte eingestellt ist. Das sollte für die Clients auch das Standardgateway sein.

      Gruß ELE


      Ja das ist auch so.....sollten alle gleich sein^^
      Naja, heute sollte es dann soweit sein, dass die FW in Produktivbetrieb geht (gab n paar wichtigere Sachen davor zu erledigen).
      Nun ist uns aber folgendes Problem/Phänomen augetreten:
      ich hab zwei netze, .17.x(intra) und .16.x(dmz)....wenn ich eine ssh verbindung aus .17.x ausgehend aufbaue, geht das ohne probleme.
      versuch ich das gleiche von einem rechner aus .16.x erhalte ich keine verbindung, was aber wichtig ist, da die firewall auch von dort aus administrierbar sein sollte.
      also die alte version wieder angeschlossen(es wurden an der keine veränderungen vorgenommen sondern nur netzwerkkabel gezogen) und hier ist auf einmal das gleiche problem...vorher ging alles einwandfrei...
      hat wer nen geistesblitz?

      ps: und ja ich durchforsch gerade das netz

      pps: hat sich erledigt.....grad gefunden an was es gelegen haben muss....in den firewall einstellungen gibt es ja den reiter system access.
      hier hab ich testweise mal eingegen dass port 22 für alle zugänglich ist..nun klappt es.
      was mich aber verwundert....vorher war hier nie was eingegeben und es hat immer super geklappt...