Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sonicwall TZ-210 Block DHCP Lan -- DMZ

Mitglied: Zangetsu

Zangetsu (Level 1) - Jetzt verbinden

12.08.2014 um 00:30 Uhr, 1368 Aufrufe, 6 Kommentare

Hallo,

leider lässt mich das offizielle Sonicwall Forum im Stich - vielleicht kann mir ja einer von euch Profis weiterhelfen. Wie bereits erwähnt eine Sonicwall TZ-210.
Konfiguriert a la:

LAN --> DMZ --> All Services --> Allow
DMZ --> LAN --> All Services --> Deny

Nachdem DMZ --> LAN alles verboten ist, habe ich für LAN --> DMZ zwei Ports gesperrt:

1. UDP 67 (DHCP Discovery)
2. UDP 68 (DHCP Offer)

Sobald ich versuche in beiden Netzen einen unabhängigen DHCP zu starten, ist diesen immer der andere bekannt --> Einer quittiert seinen Dienst.

Bis jetzt konnte ich keinerlei Hinweise finden, dieses Verhalten zu unterbinden.

Hat jemand einen Tip für mich?

Thx Zangetsu
Mitglied: certifiedit.net
12.08.2014 um 00:58 Uhr
Wenn alles dicht ist dürfte das zusätzliche "sperren" entweder schief gelaufen sein und es war ein "öffnen" oder dein all deny funktioniert nicht. Abgesehen davon: Ein any-any richtung DMZ ist nicht im Sinne des Erfinders.

Das nebenbei, hier wieder, warum spielst du mit UTM/FWs, die du nicht im Ansatz kennst (offensichtlich ja irgendwie produktiv geplant?)
Bitte warten ..
Mitglied: Dani
12.08.2014 um 01:08 Uhr
Moin,
ist die neueste GA Firmware auf dem Gerät drauf?
Die beiden Deny-Regeln kommen vor der Allow-Regel (LAN -> DMZ)? Eigentlich macht man es genau andersrum. Alle Serivces zulassen und der Rest wird durch eine Deny-Any-Regel pro Matrix gesperrt.BTW: Diese Regel siehst du auch?

Dein Vorhaben funktioniert mit Dell Sonicwall problemlos.


Gruß,
Dani
Bitte warten ..
Mitglied: Zangetsu
12.08.2014 um 02:31 Uhr
Hallo Dani,

genau so ist es - deny dhcp vor allow xy vor deny all. Laut Fehlermeldung in den Ereigniss-Anzeigen gehe ich inzischen eher davon aus, daß das Problem die Rogue DHCP Detection ist. Diese kann theoretisch manuell über die Registry deaktiviert werden.

Weisst du, ob es einen Weg gibt diese Funktion über die Firewall zu blocken? In segmentieren Netzen greift die Sicherheitsfunktion nicht ja auch nicht.


Gruß Zangetsu
Bitte warten ..
Mitglied: Dani
12.08.2014 um 09:52 Uhr
Moin,
ich bin noch nie auf die Idee gekommen, eine Allow-Any zu setzen und davor einiges zu blocken. Setz doch einfach mal ein Deny-Any und versuche es nochmals. Was sagt der Packet Monitor zu deinem Problem?


Griuß,
Dani
Bitte warten ..
Mitglied: aqui
12.08.2014 um 11:28 Uhr
Eins ist sowieso unsinnig... UDP 67 (DHCP Discovery) ist in der Regel ein UDP Broadcast der per se schon nicht über Router Interfaces geht. Da eine Firewall auch immer ein Router ist (in der Regel) kommen UDP Broadcasts auch ohne FW Regel schon nicht in andere Segmente so das so einen Regel überflüssig wäre. Scaden kann sie aber nicht wenn man zum Gürtel auch noch den Hosenträger braucht.

Hilfreich ist hier IMMER ein Wireshark mit dem man solchen Leaks sofort rausbekommt.
Bitte warten ..
Mitglied: Dani
12.08.2014 um 11:39 Uhr
@aqui
Eins ist sowieso unsinnig... UDP 67 (DHCP Discovery) ist in der Regel ein UDP Broadcast der per se schon nicht über Router Interfaces geht.
Guter Hinweis. Bitte die DHCP-Helper kontrollieren und ggf. deaktivieren. Dell Sonicwall hält sich grundsätzlich nicht an Standards.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Sonicwall TZ-210 Ping WAN-Side von LAN-Side

gelöst Frage von ZangetsuRouter & Routing5 Kommentare

Hallo, hier noch ein zweiter Knochen an dem ich mir die Zähne ausbeisse. Sonicwall-Spezialisten obacht: Konfigurartion: LAN > DMZ ...

Firewall

Alternative zu SonicWall TZ-Serie?

Frage von Addl123Firewall3 Kommentare

Einen schönen Sonnenscheintag wünsche ich! Aktuell möchte ich ein paar Firewalls anschaffen, und die TZ-Serie von SonicWall scheint auch ...

Firewall

Sonicwall TZ 100 und VPN Abbrüche

Frage von AzubineFirewall7 Kommentare

Hallo, folgender Sachverhalt: Eine VPN Verbindung zwischen Standort A und B. Beide Seiten nutzen eine Sonicwall. DIe VPN Verbindung ...

LAN, WAN, Wireless

IP Adressen in DMZ von DHCP in LAN

gelöst Frage von 118080LAN, WAN, Wireless9 Kommentare

Moin :-) Ich spiele momentan mit dem Gedanken eine DMZ einzurichten. Jetzt habe ich eine ganz grundlegende Frage. Ich ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 4 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 14 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 14 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 14 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...