ComputerBase Menü
Aktuelles

Was ist der Unterschied zwischen einer Firewall-Regel und einer NAT-Regel?

Guten Morgen,
ah ok!
Und als DHCP-Server gebe ich dann den internen Server an, der schon vor der Firewall den DHCP geregelt hat oder?
Ergänzung ()

Hm....also bei uns im Netzwerk fungiert ein Server (192.168.80.11) als DNS-Server und verwaltet das Active Directory. Kann sich die Firewall nicht von diesem Server die Informationen holen?
 
Zuletzt bearbeitet:
Naja ich würde die Sophos das DHCP machen lassen und den alten DHCP Server raus nehmen. Den Dns Server kannst du unter Netzwerkdienste Dns Weiterleitung als Forwarder eintragen und den Hagen bei Vom ISP zugewiesene Forwarders verwenden raus nehmen.
 
Zuletzt bearbeitet:
Hallo,
wenn ich meinen DNS-Server dort eintrage und den Haken rausnehme bei "vom ISP...." wird der Websiteaufbau merklich langsamer. Spricht was dagegen, wieder den alten Zustand herzustellen bzw. welchen Vorteil habe ich, wenn ich meinen DNS-Server nehme anstelle den vom ISP?
 
Komisch eigentlich müsste es schneller sein weil lokal. Naja Vorteil sollte eigentlich höhere Geschwindigkeit und ungefilterte Dns sein bei einem eigenen sein. Da stellt sich aber bei dir die Frage ob er richtig konfiguriert ist. Hast du auch unter Allgemein Zugelassene Netzwerke das interne Netzwerk entfernt? Weil das muss raus bei der Nutzung eines eigenen internen Dns Servers steht auch da. Wenn es trotzdem langsamer ist kannst du auch den internen Dns Server weg lassen und externe Resolver verwenden muss ja nicht das Dns vom Isp sein. Weil die Sophos hat einen eigenen Dns Cache sobald die Seite einmal aufgerufen wurde wäre da der eigene Dns Server eh überflüssig.
 
Hm....also wie gesagt, wenn ich den internen DNS als Host mit der internen IP nehme, dann bauen sich alle Seiten verdammt langsam auf.
Habe jetzt wieder auf ISP gewechsel und bei zugelassene Netzwerke das interne Netzwerk eingetragen.

Dadurch entsteht ja kein Sicherheitsrisiko oder?
 
Nein sollte kein größeres Sicherheitsrisiko sein. Schau nur das das der Hagen unter Allgemein bei DNSSEC-Validierung gesetzt ist. Du kannst alternativ auch andere Dns Server als die vom Provider nehmen. Einfach unter Dns-Forwarders eintragen und den Hagen bei Vom ISP zugewiesene Forwarders verwenden raus nehmen. Die von Cloudflare https://1.1.1.1 sollen schnell und zudem privat sein (Die Adressen stehen weiter unten bei Setup).
 
Danke für den guten Tip!
Der Haken war nicht gesetzt.
Kann ich bei der WebProtection eigentlich gewisse https-Seiten komplett von der Prüfung ausschließen? Habe das Problem mit einer Online-Banking-Software, dass diese sich, wenn ich den Haken bei "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" herausnehme keine Verbindung mehr zu den Bankseiten aufbauen kann.
 
Das ist komisch zumal das Https nur weiter geleitet wird da würde ich mal beim Webfilter im Log gucken ob nicht die Url gesperrt wird. Vielleicht ist auch nur die Banking Software Schrott. Wenn die Url gesperrt wird trägst du die einfach nur unter Webfilterprofile Filteraktion Deine Content Filter Action Websites unter Diese Website zulassen ein (siehe Anhang). Lasse dort aber das http/s davor weg also wenn https://onlinebanking.de steht kommt dort nur onlinebanking.de rein. Und Hagen bei Subdomänen nicht vergessen. Wenn du den Webfilter umgehen musst weil das Programm Müll ist kannst du unter Filteroptionen Sonstiges Ziele vom Transparenzmodus ausnehmen da musst du dann dort die entsprechende Seite als Dns Host bzw Dns Gruppe (bei Onlinebanking eher Gruppe weil vermutlich mehrere IP Adressen zur Url gehören) eintragen.
 

Anhänge

  • Image1.jpg
    Image1.jpg
    607 KB · Aufrufe: 256
Guten Morgen,
packe ich die Sites denn dann in die Black- oder in die Whitelist?
Oder in beide?
 
Na in die Whitelist in die Blacklist kommen die Seiten die du sperren willst.
 
Ja schon, aber ich kann ja in beiden Listen auch Ausnahmen hinzufügen...
 
Ausnahmen sind Ausnahmen. Eine Blacklist und eine Whitelist gibt es aber nicht ohne Grund. Eine Ausnahme in der Whitelist ist nicht zwangsläufig dasselbe wie ein Eintrag in der Blacklist.

Die folgenden Ausführungen sind als allgemeine Hinweise anzusehen. Ich kenne Sophos nicht im Detail und unter Umständen wird das dort anders definiert bzw. gehandhabt. Normalerweise arbeitet man mit Black- bzw. Whitelists aber so:


Whitelist --> egal was sonst geblockt wird, alles hier drin wird zugelassen - ohne wenn und aber
Blacklist --> egal was sonst erlaubt ist, alles hier drin wird geblockt - ohne wenn und aber



Beispiel mit Whitelist und Ausnahme:

- Whitelist = domain.de
- Whitelist-Ausnahmen = werbung.domain.de
- Blacklist = leer

So, was bedeutet diese Ausnahme nun? domain.de wird "gewhitelistet" - geiles Wort ^^, aber die Subdomain werbung.domain.de wird davon ausgenommen. Was passiert nun also mit werbung.domain.de? Die Subdomain wird nun nicht pauschal geblockt, weil sie nicht auf der Whitelist steht, sondern durchwandert stattdessen den normalen Filter-Prozess. Ist im Filter beispielsweise Port 80 (http) pauschal erlaubt, kann werbung.domain.de auch pauschal über Port 80 (http) kommunizieren. Ist Port 80 hingegen pauschal geblockt, geht das nicht. Hat man aber zB Port 443 (https) pauschal erlaubt, darf werbung.domain.de weiterhin via 443 kommunizieren, während Port 80 geblockt wird.


Beispiel mit White- und Blacklist:

- Whitelist = domain.de
- Whitelist-Ausnahmen = leer
- Blacklist = werbung.domain.de

Wie gehabt ist domain.de immer und überall freigegeben, egal was sonst geblockt wird. Anders als im oberen Beispiel wird werbung.domain.de nun aber immer geblockt, egal was sonst erlaubt ist. Selbst eine pauschale Freigabe für Port 80 würde hier also nicht greifen, da die Blacklist prinzipiell immer alles blockt.
 
Besten Dank für die Erklärung! Jetzt habe ich es verstanden!
 
Hallo,
ich komme irgendwie mit den Ausnahmen bei den https-Seiten nicht weiter. Beim Online-Banking kommt der folgende Fehler:
Unbenannt.png

Wenn ich jedoch in der Sophos ein Filterprofil für den PC einstelle, mit dem ich das Online-Banking mache und sage da, "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten", so funktioniert es einwandfrei.
Ich möchte aber auch bei diesem PC, dass nur bestimmte https-Seiten nicht durch den Proxy geleitet werden.
Also habe ich dann folgenden Eintrag in der Whitelist gemacht (einmal die Seite und einmal die Domain):
1.png


2.png

Aber leider scheint das nicht zu funktionieren, denn es kommt dann wieder der Fehler von oben, wenn ich nur mit der Whitelist arbeite und ohne den einzelnen Filter für den PC (kein https-Verkehr über den Proxy).

Woran kann das liegen?
 
Weil der Rest immer noch über den Proxy geht mit der Whitelist sagst du nur das die Seite durch zu lassen ist. Erstelle unter Filteroptionen Sonstiges zwei Transparenzmodus Ausnahmen so wie ich es beim Secunia Psi gemacht habe (siehe Anhang) du wählst aber bei Typ nicht Host sondern Dns-Gruppe aus. Wenn du die beiden Dns Gruppen dann noch bei Quellhosts mit einträgst sollte der Webfilter für diese Seiten in beide Richtungen umgangen werden. Zur Erklärung Unterschied Dns-Host Gruppe wenn Dns-Host eingestellt ist wird bloß die erste IP Adresse die sich hinter der Seite verbirgt ermittelt ist bei Dyndns Adressen und Seiten empfehlenswert wo bekannt ist das bloß eine Adresse sich hinter dem Dns Eintrag verbirgt wenn du aber Dns-Gruppe auswählst werden alle Adressen die sich hinter dem Dns Eintrag verbergen ermittelt das ist in der Regel bei großen Seiten der Fall die weltweit gehostet werden und damit mehrere unterschiedliche IP Adressen verwenden (was beim Banking wohl der Fall sein dürfte).
 

Anhänge

  • Image1.jpg
    Image1.jpg
    838 KB · Aufrufe: 240
  • Image2.jpg
    Image2.jpg
    609,2 KB · Aufrufe: 234
Guten Morgen,
super besten Dank-werde ich gleich sofort ausprobieren!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Was ist der Unterschied zwischen einer abstrakten Klasse und einem Interface
Antworten
3
Aufrufe
1.144
Micke
M
Bob.Dig
  • Artikel
Leserartikel pfSense & OPNsense (Firewall- und Routing-Appliance)
2
Antworten
26
Aufrufe
12.189
Bob.Dig
Bob.Dig
J
Was ist der Unterschied zwischen den Monitoren?
Antworten
6
Aufrufe
858
inge70
inge70
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
373
Mickey Mouse
Mickey Mouse
Malaclypse17
Probleme mit Portweiterleitung auf einer pfSense über CARP VIP
Antworten
7
Aufrufe
2.874
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz