20
Sonicwall NSA 240 Windows 2003 Server Proxy
Ich brauche Hilfe zur Einrichtung einer SonicWall
Hallo,
ich habe folgendes Problem, ich habe eine SonicWall einen Windows 2003 SBS Server mir installiertem Jana Proxy und einen HP Switch.
Ich würde gerne die Route der Clients auf den Proxy Server umleiten allerdings habe ich wenig Erfahrung im Bereich Routing usw.
Ich habe mir schon folgende Anleitung angeschaut "Routing mit 2 Netzwerkkarten unter Windows u. Linux
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
ich denke ich komme auch soweit klar nur finde ich ist diese Sonicwall ziemlich kompliziert und hat viele Begriffe die mir nicht viel sagen.
Ich hoffe meine Frage ist nicht zu allgemein, aber könnte mir vielleicht sagen wie cih die Sonicwall konfigureieren muss um den Datenverkehr auf den Windows 2003 Server Proxy umzuleiten.
Vielen Dank
Gruß
Michael
ich habe folgendes Problem, ich habe eine SonicWall einen Windows 2003 SBS Server mir installiertem Jana Proxy und einen HP Switch.
Ich würde gerne die Route der Clients auf den Proxy Server umleiten allerdings habe ich wenig Erfahrung im Bereich Routing usw.
Ich habe mir schon folgende Anleitung angeschaut "Routing mit 2 Netzwerkkarten unter Windows u. Linux
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
ich denke ich komme auch soweit klar nur finde ich ist diese Sonicwall ziemlich kompliziert und hat viele Begriffe die mir nicht viel sagen.
Ich hoffe meine Frage ist nicht zu allgemein, aber könnte mir vielleicht sagen wie cih die Sonicwall konfigureieren muss um den Datenverkehr auf den Windows 2003 Server Proxy umzuleiten.
Vielen Dank
Gruß
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161009
Url: https://administrator.de/contentid/161009
Printed on: April 23, 2024 at 08:04 o'clock
20 Comments
Latest comment
Proxy hat nichts mit Routing zu tun, gib den Proxy in den Gruppenrichtlinien an und gut ist.
Hallo,
für den Internet Explorer habe ich bereits ein Gruppenrichtlinie erstellt, leider muß ein spezieler User alle Browser nutzen da er die Webinhalte unserer Homepage prüfen muss.
Außerdem wenn der User den Proxy rausmacht soll er gar nicht ins Internet geht.
Gruß
Michael
für den Internet Explorer habe ich bereits ein Gruppenrichtlinie erstellt, leider muß ein spezieler User alle Browser nutzen da er die Webinhalte unserer Homepage prüfen muss.
Außerdem wenn der User den Proxy rausmacht soll er gar nicht ins Internet geht.
Gruß
Michael
Die Firewall sollte nur dem Proxy den Internetzugriff erlauben (mit Ausnahmen für Server und "Admin-IPs"). Firefox und Co. greifen normalerweise auf IE-Proxy-Einstellungen zurück.
Genau, mach eine Deny Regel für (FTP, HTTP UND HTTPS) Lan Primary Subnet nach ANY (im Bereich LAN > WAN).. Dann kann keiner mehr auf das Internet zugreifen.
Ausnahmen kannst du dann anschließend für den Server erstellen in dem du für einzelne IP Adressen den Zugriff erlaubst.
Ausnahmen kannst du dann anschließend für den Server erstellen in dem du für einzelne IP Adressen den Zugriff erlaubst.
Hallo,
vielen Dank für die Antworten, das heißt also das für den Proxy das Routing gar keine Rolle spielt ich darf nur an der SonicWall nur den Proxy Server durchlassen und somit ist gewährleistet das keiner
ohne Proxyeinstellungen ins Internet kommt.Kann ich dann auch Regeln für Ausnahmen definieren?
Und kann mir jemand villeicht noch etwas genauer erklären was und wie ich das in der SonicWall einstellen muss.
Vielen Dank
Michael
vielen Dank für die Antworten, das heißt also das für den Proxy das Routing gar keine Rolle spielt ich darf nur an der SonicWall nur den Proxy Server durchlassen und somit ist gewährleistet das keiner
ohne Proxyeinstellungen ins Internet kommt.Kann ich dann auch Regeln für Ausnahmen definieren?
Und kann mir jemand villeicht noch etwas genauer erklären was und wie ich das in der SonicWall einstellen muss.
Vielen Dank
Michael
Poste doch mal einen Screenshot mit den Policies.
Aussehen könnte es so:
Objekt oder Gruppe "Server" erstellen (Inhalt: deren IP-Adressen)
Objekt Proxy erstellen (Inhalt: seine IP)
Regeln (die Reihenfolge ist entscheidend):
Source: Server
Destination : any (oder WAN)
Service: any
Action: allow
Source: Proxy
Destination: any (oder WAN)
Service: 80, 443, 21 (http, https, ftp)
Action: allow
Source: any local (oder LAN)
Destination: any (oder WAN)
Service: any
Action: deny
Aussehen könnte es so:
Objekt oder Gruppe "Server" erstellen (Inhalt: deren IP-Adressen)
Objekt Proxy erstellen (Inhalt: seine IP)
Regeln (die Reihenfolge ist entscheidend):
Source: Server
Destination : any (oder WAN)
Service: any
Action: allow
Source: Proxy
Destination: any (oder WAN)
Service: 80, 443, 21 (http, https, ftp)
Action: allow
Source: any local (oder LAN)
Destination: any (oder WAN)
Service: any
Action: deny
Hallo,
ich weiß nicht wo ich das Objekt oder die Gruppe erstellen soll?
Gruß
Michael
ich weiß nicht wo ich das Objekt oder die Gruppe erstellen soll?
Gruß
Michael
Es wäre ratsam, die Einrichtung jemanden machen zu lassen, der sich wenigstens ein bisschen damit auskennt. Dabei dann über die Schulter schauen und lernen. Alle haben mal klein angefangen...
Gruß
Steffen
Hallo,
danke für den konstruktiven Beitrag, würde ich gerne machen wenn ich jemanden hätte der es könnte.
Gruß
Michael
danke für den konstruktiven Beitrag, würde ich gerne machen wenn ich jemanden hätte der es könnte.
Gruß
Michael
Ich hab mal 2 Screenshots gemacht, aber wie kann ich die hochladen?
Hallo,
danke für die Hilfe,ich schicke dir meine E-Mail Adresse per PN.
Gruß
Michael
danke für die Hilfe,ich schicke dir meine E-Mail Adresse per PN.
Gruß
Michael
Hallo,
ich weiß jetzt mittlerweile wie man Objekte Gruppen und Firewall Regeln erstellt, Danke nochmal an Oliver!
Ich habe ein Adress Object Admin PC
Name: Admin
Zone: LAN
Typ: Host
IP 192.168.168.110
und habe zwei Access Rules
Action: Allow
From Zone: LAN
To Zone: WAN
Service: Any
Source: Admin
Destination: Any
Users: All
Schedule: Always on
die zweite
Action Deny
From Zone: LAN
To Zone: WAN
Service: Any
Source: Any
Destination: Any
Users: All
Schedule: Always on
leider komm ich sobald ich die zwete Regel einschalte auch mit dem Admin PC nicht mehr ins Internet, muss ich noch etwas einstellen oder beachten.
Vielen Dank
Gruß
Michael
ich weiß jetzt mittlerweile wie man Objekte Gruppen und Firewall Regeln erstellt, Danke nochmal an Oliver!
Ich habe ein Adress Object Admin PC
Name: Admin
Zone: LAN
Typ: Host
IP 192.168.168.110
und habe zwei Access Rules
Action: Allow
From Zone: LAN
To Zone: WAN
Service: Any
Source: Admin
Destination: Any
Users: All
Schedule: Always on
die zweite
Action Deny
From Zone: LAN
To Zone: WAN
Service: Any
Source: Any
Destination: Any
Users: All
Schedule: Always on
leider komm ich sobald ich die zwete Regel einschalte auch mit dem Admin PC nicht mehr ins Internet, muss ich noch etwas einstellen oder beachten.
Vielen Dank
Gruß
Michael
Hallo,
1) Die Allow-Regel muss über der Deny-Regel stehen, da das Regelwerk von oben nach unten abgearbeitet wird.
2) Die Allow-Regel greift nur, wenn der Admin-PC auch selbst direkt ins Internet geht. Wenn er einen Proxy benutzt, muss dieser Surfen dürfen.
3) Gern vergessen wird die Namensauflösung. In einer Win-Domäne erfolgen die Namensauflösungen über die internen DNS-Server. Diese DNS-Server müssen nach extern DNS-Auflösungen machen dürfen, um Hosts externer Domänen über die DNS-Forwarder auflösen zu können.
Im Übrigen hat die Sonicwall ein brauchbares Realtime-Log...
Gruß
sk
1) Die Allow-Regel muss über der Deny-Regel stehen, da das Regelwerk von oben nach unten abgearbeitet wird.
2) Die Allow-Regel greift nur, wenn der Admin-PC auch selbst direkt ins Internet geht. Wenn er einen Proxy benutzt, muss dieser Surfen dürfen.
3) Gern vergessen wird die Namensauflösung. In einer Win-Domäne erfolgen die Namensauflösungen über die internen DNS-Server. Diese DNS-Server müssen nach extern DNS-Auflösungen machen dürfen, um Hosts externer Domänen über die DNS-Forwarder auflösen zu können.
Im Übrigen hat die Sonicwall ein brauchbares Realtime-Log...
Gruß
sk
Hallo sk,
zu 1) die Allow-Regel steht über der Deny-Regel
zu 2) Admin PC geht direkt ins Internet und braucht keinen Proxy
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?
Vielen Dank für deine Hilfe
Gruß
Michael
zu 1) die Allow-Regel steht über der Deny-Regel
zu 2) Admin PC geht direkt ins Internet und braucht keinen Proxy
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?
Vielen Dank für deine Hilfe
Gruß
Michael
Zitat von @MichaelBSW:
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der
Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der
Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?
Ausgehend von der Annahme, dass die DNS-Konfig vorher korrekt war, muss am Server nichts geändert werden. Auf der Firewall muss lediglich DNS vom Server zum WAN zugelassen werden.
Gruß
Steffen
Das könnte das Problem sein Michael,
erlaube mit einer Extra regel noch DNS für deinen DNS Server (meist Domänencontroller).
Zum testen kannst du auch auf deinem Admin PC mal 8.8.8.8 als DNS Server eintragen und dann testen. Deine Regel lässt DNS ja vom Admin PC aus zu.
Gruß
Oliver
erlaube mit einer Extra regel noch DNS für deinen DNS Server (meist Domänencontroller).
Zum testen kannst du auch auf deinem Admin PC mal 8.8.8.8 als DNS Server eintragen und dann testen. Deine Regel lässt DNS ja vom Admin PC aus zu.
Gruß
Oliver
Hallo,
das war die Lösung!
@Oliver, ich hätte nur deine Mail besser lesen müssen das hast du ja schon was von DNS geschrieben.
Danke an Oliver, Steffen und alle anderen
das war die Lösung!
@Oliver, ich hätte nur deine Mail besser lesen müssen das hast du ja schon was von DNS geschrieben.
Danke an Oliver, Steffen und alle anderen
Du sollstest die Server nicht so einschränken, lass sie ruhig alles dürfen. Denn du brauchst nicht nur DNS, sondern NTP, Windows-Updates, tracert, ping... usw.
@spytnik Naja das sehe ich etwas anders. Also recht hast du damit das Sie mehr als DNS brauchen, aus meiner sicht sind das in der Regel: NTP (wenn man keinen internen hat, mit einer Domäne aber hat man einen, trotzdem ist es bequem NTP für alle freizugeben, (nur für Proxyserver: FTP, HTTP, HTTPS), (nur für Mailserver: IMAP, POP3, SMTP), Elster, HBCI
Tracert, Ping usw sind ja nur Dienste die das ganze bequemer machen, aber nicht wirklich notwendig sind. Da er die aber dem Admin PC freigegeben hat reicht das völlig aus.
Das Problem wenn du alles offen lässt ist wenn du dir mal nen Wurm einfängst dürfen alle PCs mit Port 25 raus blasen und das will man 1. nicht und 2. hab ich es (zugegeben in Holland) schon erlebt das die den ganzen Internetzugang abgeschaltet haben weil so viel Spam aus dem Kundennetz kam.
Also die devise ist, so wenig wie möglich, so viel wie nötig.
Tracert, Ping usw sind ja nur Dienste die das ganze bequemer machen, aber nicht wirklich notwendig sind. Da er die aber dem Admin PC freigegeben hat reicht das völlig aus.
Das Problem wenn du alles offen lässt ist wenn du dir mal nen Wurm einfängst dürfen alle PCs mit Port 25 raus blasen und das will man 1. nicht und 2. hab ich es (zugegeben in Holland) schon erlebt das die den ganzen Internetzugang abgeschaltet haben weil so viel Spam aus dem Kundennetz kam.
Also die devise ist, so wenig wie möglich, so viel wie nötig.
Naja, der Mailserver bleibt dann ja noch als möglicher Spamversender. Außerdem synchronisieren sich die Clients in einer Domäne mit dem PDC, und nicht mit dem Internet. Aber Recht hast du...
Aber Recht hast du...
