ComputerBase Menü
Aktuelles

Sophos Firewall Grundregel

Du hast eine eigene Domäne? Wer vergibt die IP-Adressen innerhalb der Domäne? Betreibst du auch einen eigenen DHCP-Server dazu? Woher kommt die DNS-Auflösung?

Mit Firewall und Router betreibst du im Grunde ein double NAT-Setup, was für den Anfang aber ziemlich fehleranfällig ist. Du möchtest den gesamten Datenverkehr der Clients über die Firewall führen?

Die Firewall hat entsprechend den Router als Gateway eingetragen?
 
  • Gefällt mir
Reaktionen: madmax2010
Ja in der Firewall ist der Router in der WAN-Schnittstelle über PPPoE verbunden.
Im Netzwerk habe ich einen Server der als AD dient und auch als DHCP dient - DHCP habe ich daher in der Firewall deaktiviert. DNS leistet auch der AD-Server. In der Firewall habe ich jedoch bei DNS automatisch beziehen über PPPoE eingestellt - Sollte ich hier besser statisch nehmen? Als ersten dann den Standard 127.0.0.1 und als zweiten die IP-Adresse meines lokalen DNS-Servers?
 
Es ist komplett egal wie die firewall ihre IP bezieht
owl2010 schrieb:
Als ersten dann den Standard 127.0.0.1 und als zweiten die IP-Adresse meines lokalen DNS-Servers?
Zum Vergrößern anklicken....
Da kann ich nicht folgen. Was meinst du?
 
Zuletzt bearbeitet:
Was ich unter Netzwerk bei DNS in der Firewall am besten eintragen sollte:
88888.jpg
 
Ah, damit ist gemeint, wer als DNS Server fungieren soll. 127.0.0.1 ist da nur richtig, wenn die Firewall auch als DNS Server fungiert. Lass das gern vom DCHP Server eintragen, oder trag den selben DNS wie im DHCP Server. Schau nur, dass du nur 1 DHCP Server im (subnetz) hast.
 
Auf dem Router solltest du DHCP ebenso deaktivieren, sonst gewinnt der schnellere DHCP-Server bei Clientanfragen.
Die Sophos kannst du als DNS-Relay betreiben. Es kommt aber im Grunde darauf an, was du an deine Clients ausgeben möchtest, also entweder den Domain-Controller, oder alternativ die Sophos. Das muss entsprechend als DHCP-Option gesetzt werden.

Die Domaincontroller würde ich für die DNS-Auflösung nutzen. Sofern der Name lokal nicht aufgelöst werden kann, soll eine Anfrage an einen public DNS gestellt werden. Diese geht dann über die Sophos Firewall ins öffentliche Internet.

Auch wenn die Sophos eine UTM ist, würde ich für den Anfang erstmal nur Firewalling darüber machen und nicht noch DNS/DHCP oder ähnliches. Mir ist klar, dass das kein großer Konfigurationsaufwand ist, aber die Möglichkeiten einer lokalen Domäne, würde ich dann auch schon nutzen. Zumal viele AD-Sachen ohne gescheite Namens,- und Zeitserver nicht ordentlich funktionieren.

Grüße
 
  • Gefällt mir
Reaktionen: madmax2010
Ok, also in meinem Netzwerk fungiert ja der Server sowohl für DNS als auch DHCP - ergo lasse ich dann die Einstellung bei DNS in meiner Firewall auf automatisch beziehen von PPPoE? Automatisch über DHCP beziehen kann ich nicht auswählen-ist ausgegraut.
 
Was nutzt du als Modem?
 
automatischer Bezug über PPPoE wäre nur korrekt, wenn du das Gerät direkt am Internetanschluss betreibst. Sobald da etwas dazwischen ist, klappt das mit PPPoE nicht mehr. Den aktueller Router/Modem vor der Firewall bezieht die Einstellungen aktuell via PPPoE.

Mal anders gefragt. Was Funktioniert denn bereit mit deinem Setup, oder bist du noch am Informationen sammeln?

EDIT: gerade den neuen Beitrag gesehen....
Das Modem wäre das Gateway für die Firewall. Als DNS würde ich den Domaincontroller angeben. Dann läuft auf dem alles zusammen. Anfragen an die interne Domäne laufen ansonsten ins leere, da die Firewall diese wohl nicht kennt.

Grüße
 
  • Gefällt mir
Reaktionen: madmax2010
Also es läuft schon alles! Ich komme mit der eingebunden Firewall problemlos ins Internet.
Mir geht es jetzt gerade nur darum, ob die DNS Einstellungen so belassen sollte.

Ah ok, habe deinen Edit zu spät gesehen ;-)
Ok, dann trage ich als statischen DNS die IP des lokalen Servers ein.
Macht es Sinn als zweiten noch eine Alternative einzutragen?
Ergänzung ()

Sollte ich unter DNS Host-Eintrag und DNS-Anfrageroute noch was eintragen oder leer lassen?
000000.jpg
 
Ja, ein zweiter DNS ist sinnvoll. Für gewöhnlich betreibt man einen Domaincontroller mindestens als Pärchen, sodass man hier im Grunde den zweiten Controller eintragen könnte. Im Homelab, würde ich darüber allerdings hinwegsehen.

EDIT:
Um deine Frage zu beantworten. Diese Optionen kannst du setzen, wenn die Firewall bestimmte Netzwerteilnehmer anders auflösen soll, bzw. vielleicht gar nicht kennt. Da du es über den DC auflösen lässt, sollte dieser Fall jedoch nicht vorkommen.
Grundlegend solltest du möglichst oft das Ziel haben, nur an einer einzigen Stelle Änderungen oder Konfigurationen zu pflegen.
 
Zuletzt bearbeitet:
Ah ok, besten Dank!
Ergänzung ()

Den VPN-Zugang habe ich mir gerade auch eingerichtet - läuft auch super!
An sich braucht der VPN-Zugang auch keine eigene NAT-Regel, wenn ich die Standard-NAT-Regel aktiv habe oder?
66666.jpg
 
Zuletzt bearbeitet:
Nein, du sagst im Grunde, dass alles was aus dem Internen Netzwerken kommt über die NAT-Regel abgefrühstückt wird! Ausnahmen hiervon macht man z.B. wenn man mehrere öffentliche IP-Adressen hat und bestimmte Dienste gezielt umleiten möchte.
 
Übrigens: Viel wichtiger als die ausgehenden Regeln in der Firewall sind die eingehenden.


Ich würde dir dringend dazu raten, die Firewall erstmal ausschließlich im lokalen Netzwerk zum Testen einzusetzen, zB um ein Büronetzwerk vom Heimnetzwerk abzugrenzen. Da kannst du mit Firewall, NAT und dergleichen experimentieren bis du etwas Erfahrung gesammelt und das Prinzip verstanden hast. Gerade das scheinst du nun aber ohne nennenswerte Kenntnisse an einer Firewall zu machen, die direkt im Internet hängt. Das ist gelinde gesagt ein Spiel mit dem Feuer.


Die Sicherheit einer (semi-)professionellen Firewall kommt nicht durch den reinen Einsatz von Sophos, pfSense und Co, sondern ausschließlich durch die fachgerechte Konfiguration. Eine schlecht konfigurierte Sophos ist kein Stück besser als ein x-beliebiger Consumer-Router.
 
  • Gefällt mir
Reaktionen: [ACE].:SHARK:. und madmax2010
Ja, das weiß ich und ich lese mich da auch langsam ein.
Ergänzung ()

Darf ich noch was fragen ohne, dass ihr mir den Kopf abhaut?
Es wurde ja eben gesagt, dass man gar keine Firewall-Regel fürs Serven benötigt, da ja bereits für HTTP/HTTPS ein Proxy in der XG ist. Wie habe ich mir das vorzustellen? Wo finde ich denn die Einstellung? Und sind dort dann schon die Standardports hinterlegt?
 
Zuletzt bearbeitet:
Für den Anfang gib einfach gar nichts inbound frei, erstelle eine Drop-Regel und lass diese Protokollieren. Dann siehst du was soweit los ist.

Ich glaube hier haut dir keiner den Kopf ab....bisher läufts ja nicht so schlecht hier. ;)

Du meinst sicherlich den Web Proxy bei Sophos? Ich kenne die XG nicht wirklich und hab nur ein paar Erfahrungen mit der SG, aber ich vermute mal, dass beide Systeme hier ähnlich sind? Das ist nach meiner Auffassung aber ein Reverse-Proxy.

Der Web (Reverse) Proxy wird erst aktiv, wenn du einen Web-Server dahinter hast. Statt den Webserver direkt ins Internet zu stellen, sammelt der Proxy alle Aufrufe ein und leitet diese an die jeweiligen Ziele weiter.

Zum HTTPs-Proxy habe ich nur diesen Link von Sophos gefunden:
https://support.sophos.com/support/s/article/KB-000035921?language=en_US

Allerdings ist das, meiner Auffassung nach, kein für dich relevanter Fall, da deine XG im Grunde die Perimeter Firewall ist.
 
Zuletzt bearbeitet:
Ja, die habe ich gerade erstellt! Danke für den Hinweis.
Aber wenn ich keine Firewall-Regel habe, die etwas freigibt ins WAN, kann ich doch auch nicht surfen auch wenn ein Proxy in der XG ist oder? Ich muss doch irgendwo die Dienste HTTP und HTTPS freigeben.
 
Das kann ich dir nicht beantworten. Es kann sein, dass die Sophos automatische entsprechende Regeln anlegt, wenn man diese Funktion aktiviert.
Probier es doch einfach mal aus. Dafür ist so eine Spielumgebung ja da.

Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

O
Sophos XGS136 mit Backup-Firewall XG135 ?
Antworten
2
Aufrufe
670
Masamune2
M
O
eMail-Verkehr durch Sophos-Firewall
Antworten
19
Aufrufe
6.781
snaxilian
S
O
Sophos Firewall + Sky Stick
Antworten
9
Aufrufe
1.361
memmex
memmex
O
Webradio TuneIn mit Sophos Firewall nicht möglich?!
Antworten
4
Aufrufe
1.942
owl2010
O
G
Reddoxx Apliance hinter Sophos Firewall
Antworten
11
Aufrufe
3.188
Gerber_
G
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz