Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sonicwall TZ-210 Block DHCP Lan -- DMZ

Frage Netzwerke Router & Routing

Mitglied: Zangetsu

Zangetsu (Level 1) - Jetzt verbinden

12.08.2014 um 00:30 Uhr, 1281 Aufrufe, 6 Kommentare

Hallo,

leider lässt mich das offizielle Sonicwall Forum im Stich - vielleicht kann mir ja einer von euch Profis weiterhelfen. Wie bereits erwähnt eine Sonicwall TZ-210.
Konfiguriert a la:

LAN --> DMZ --> All Services --> Allow
DMZ --> LAN --> All Services --> Deny

Nachdem DMZ --> LAN alles verboten ist, habe ich für LAN --> DMZ zwei Ports gesperrt:

1. UDP 67 (DHCP Discovery)
2. UDP 68 (DHCP Offer)

Sobald ich versuche in beiden Netzen einen unabhängigen DHCP zu starten, ist diesen immer der andere bekannt --> Einer quittiert seinen Dienst.

Bis jetzt konnte ich keinerlei Hinweise finden, dieses Verhalten zu unterbinden.

Hat jemand einen Tip für mich?

Thx Zangetsu
Mitglied: certifiedit.net
12.08.2014 um 00:58 Uhr
Wenn alles dicht ist dürfte das zusätzliche "sperren" entweder schief gelaufen sein und es war ein "öffnen" oder dein all deny funktioniert nicht. Abgesehen davon: Ein any-any richtung DMZ ist nicht im Sinne des Erfinders.

Das nebenbei, hier wieder, warum spielst du mit UTM/FWs, die du nicht im Ansatz kennst (offensichtlich ja irgendwie produktiv geplant?)
Bitte warten ..
Mitglied: Dani
12.08.2014 um 01:08 Uhr
Moin,
ist die neueste GA Firmware auf dem Gerät drauf?
Die beiden Deny-Regeln kommen vor der Allow-Regel (LAN -> DMZ)? Eigentlich macht man es genau andersrum. Alle Serivces zulassen und der Rest wird durch eine Deny-Any-Regel pro Matrix gesperrt.BTW: Diese Regel siehst du auch?

Dein Vorhaben funktioniert mit Dell Sonicwall problemlos.


Gruß,
Dani
Bitte warten ..
Mitglied: Zangetsu
12.08.2014 um 02:31 Uhr
Hallo Dani,

genau so ist es - deny dhcp vor allow xy vor deny all. Laut Fehlermeldung in den Ereigniss-Anzeigen gehe ich inzischen eher davon aus, daß das Problem die Rogue DHCP Detection ist. Diese kann theoretisch manuell über die Registry deaktiviert werden.

Weisst du, ob es einen Weg gibt diese Funktion über die Firewall zu blocken? In segmentieren Netzen greift die Sicherheitsfunktion nicht ja auch nicht.


Gruß Zangetsu
Bitte warten ..
Mitglied: Dani
12.08.2014 um 09:52 Uhr
Moin,
ich bin noch nie auf die Idee gekommen, eine Allow-Any zu setzen und davor einiges zu blocken. Setz doch einfach mal ein Deny-Any und versuche es nochmals. Was sagt der Packet Monitor zu deinem Problem?


Griuß,
Dani
Bitte warten ..
Mitglied: aqui
12.08.2014 um 11:28 Uhr
Eins ist sowieso unsinnig... UDP 67 (DHCP Discovery) ist in der Regel ein UDP Broadcast der per se schon nicht über Router Interfaces geht. Da eine Firewall auch immer ein Router ist (in der Regel) kommen UDP Broadcasts auch ohne FW Regel schon nicht in andere Segmente so das so einen Regel überflüssig wäre. Scaden kann sie aber nicht wenn man zum Gürtel auch noch den Hosenträger braucht.

Hilfreich ist hier IMMER ein Wireshark mit dem man solchen Leaks sofort rausbekommt.
Bitte warten ..
Mitglied: Dani
12.08.2014 um 11:39 Uhr
@aqui
Eins ist sowieso unsinnig... UDP 67 (DHCP Discovery) ist in der Regel ein UDP Broadcast der per se schon nicht über Router Interfaces geht.
Guter Hinweis. Bitte die DHCP-Helper kontrollieren und ggf. deaktivieren. Dell Sonicwall hält sich grundsätzlich nicht an Standards.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Firewall
Sonicwall TZ 100 und VPN Abbrüche (7)

Frage von Azubine zum Thema Firewall ...

Netzwerkmanagement
gelöst DMZ hinter LAN? (8)

Frage von Lars15 zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst Proxy für den Betrieb in einer DMZ oder im LAN (12)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Humor (lol)

Wo ist der Fehler auf dem Bild?

(8)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Proxy Server Settings Cloud + EWS (17)

Frage von SomebodyToLove zum Thema Exchange Server ...

Windows Server
PDF Editor für den Einsatz auf Terminal Servern (16)

Frage von kwame501 zum Thema Windows Server ...

Windows Installation
Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen (14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Virtualisierung
Unterschied zwischen VDI und Terminal Server Lösungen (13)

Frage von tukawi06 zum Thema Virtualisierung ...