Anfänger: Zugriff aus LAN auf das WAN Netzwerk ausschließen

[wannabe2012]

Hallo,
bei mir liegt folgendes Szenario vor:

Zwei WAN Anschlüsse und ein LAN hinter der Firewall.

Nun sind aber an den WAN Anschlüssen noch weitere Netze aktiv, auf die ich aber aus
meinem LAN keinen Zugriff haben will und auch nicht anders herum. Es soll also nur das Gateway
selbst möglich sein, aber keiner soll in die anderen Netze Einblick haben.

Ist so eine Konfiguration möglich?
Habe selbst erst wenige Tage die Firewall in Betrieb und finde leider eventuell einfach nur
den Begriff nicht für das Problem.

[micneu]

bitte mal eine grafischen netzwerkplan
vieleicht verstehe ich was du genau vorhast wenn ich den netzwerkplan sehe


Gesendet von iPad mit Tapatalk Pro

[wannabe2012]

Hallo, sorry für die späte Antwort.
Bin leider gerade erst wieder am Rechner.

Bild anbei.
Ich möchte die Firewall so konfigurieren, dass ein Zugriff auf Subnetz 1 und Subnetz2 aus dem
Arbeitsnetzwerk heraus nicht möglich ist. Es soll nur jeweils das Gateway ansprechbar sein.
Konfiguration ist als Failover vorgesehen.
Weiterhin sollen Subnetz 1 und Subnetz 2 nicht auf das Arbeitsnetzwerk zugreifen können.

[lfirewall1243]

Dann sollte auf dem LAN eine ALLOW Regel reichen.

Dort als Ziel deine beiden Subnetze hinterlegen und den Haken bei "Ziel invertieren" setzen

[wannabe2012]

Hallo,
danke für die schnelle Antwort.
Habe es nun wie im Bild getestet. Habe aber nun weiter Zugang zum Subnetz.

Bin wie gesagt blutiger Anfänger, vielleicht stehe ich auch einfach nur auf dem Schlauch.

[lfirewall1243]

Hast du die Regel vor deine anderen LAN Regeln gelegt?

Was sagt ein Livelog während du versuchst ins andere LAN zu kommen?

[wannabe2012]

Hallo Bild anbei,
aktuell habe ich nur die Standardregeln.
Ist wie gesagt im Aufbau und in der Testphase

[kosta]

Naja, ist klar. Die Regeln werden von oben runter abgearbeitet. Du hast vorher ein Rule der erlaubt ausgehend alles überallhin. Die ersten zwei weg, 3. und 4. Regel auf Quelle LAN Netzwerk setzen, und invert (ich nehme an die Yeti und O2 sind die WAN1 und WAN2 Netze).

[Patrick M. Hausen]

Nicht ganz.

Quelle: LAN_NET
Ziel: WAN1_NET
Action: block

Quelle: LAN_NET
Ziel: WAN2_NET
Action: block

Und diese einfach weiter oben positionieren als die

Quelle: LAN_NET
Ziel: *
Action: permit

[kosta]

Rein interessenshalber: warum würde das mit Invert nicht funktionieren? Was nicht explizit erlaubt ist, ist geblockt... verstehe ich da was falsch?

[wannabe2012]

Vielen Dank für die Antworten. Werde es morgen testen sobald ich wieder an den Rechner komme und gebe dann Rückmeldung.

[lfirewall1243]

Rein interessenshalber: warum würde das mit Invert nicht funktionieren? Was nicht explizit erlaubt ist, ist geblockt... verstehe ich da was falsch?

Würde funktionieren.
Man darf es nur nicht mit anderen Rules wieder erlauben

[kosta]

Das eh nicht. Mein Hintergedanke an einer Firewall ist nur das erlauben was man auch braucht. Deswegen immer das erste was ich mache ist alle Rules erstmal löschen. But, that's me.

[wannabe2012]

Nicht ganz.

Quelle: LAN_NET
Ziel: WAN1_NET
Action: block

Quelle: LAN_NET
Ziel: WAN2_NET
Action: block

Und diese einfach weiter oben positionieren als die

Quelle: LAN_NET
Ziel: *
Action: permit

Hallo,
konnte die Lösung erst jetzt ausprobieren.
Das scheint aber auch problemlos zu funktionieren.

Besten Dank an alle.