http-Proxy verbindet VLANs

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
joda
Beiträge: 9
Registriert: Mo 12.02.2018, 12:25

http-Proxy verbindet VLANs

Beitrag von joda »

Hallo, ich bin kürzlich auf etwas gestossen und habe vermutlich einen Hänger bei der Lösungsfindung. Wie sieht die einfache Lösung aus?

Ein physisches Netz an ETH1 (192.168.1.1, produktiv) und zwei virtuell Netze an ETH2 (192.168.1.2/192.168.1.3, Gastnetze) sind eingerichtet. 
Der transparente http-Proxy ist jeweils eingerichtet: Quelle 192.168.1.x; Ziel internet oder external-interface.
Bei Aktivierung des transparenten http-Proxy ist der Zugriff auf die http-Anwendungen in den jeweils anderen Netzen möglich, bei deaktiviertem Proxy nicht.

Meine letzte Lösung, noch unversucht, ist die Erstellung eines verneinenden Regelsatzes im jeweils anderen Netz, nur mit welchen angaben zu Quelle/ Ziel (die Anfrage kommt ja vom Proxy?).
Wäre toll wenn ihr meinen Denkknoten löst und mir eine Lösung mitteilt. Gruß Hubert

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

da das ganze vom transparenten HTTP Proxy abgefangen wird, greifen die Regeln im Portfilter nicht.
Sie benötigen eine HTTP Exclude Regel im transparenten Proxy:
Quelle: internal-network
Ziel: vlan-netzwerk
http
Exclude

Danach sollte das nicht mehr auftreten.

Gruß

joda
Beiträge: 9
Registriert: Mo 12.02.2018, 12:25

Beitrag von joda »

Hallo Kenneth, danke für die Antwort (und Lösung).
Nach Anlage mehrerer Regeln
internal-networks/vlan-networks/ http-Exclude
vlan-networks/ internal-networks/ http-Exclude
vlan1-network/ vlan2-network/ http-Exclude
vlan2-network/ vlan1-network/http-Exclude
ist der unerwünschte Traffic nun gestoppt. Danke für die schnelle Hilfe, Gruß Hubert

An die Entwicklung: "Was nicht explizit erlaubt ist..." Sollte dieses Szenario überhaupt eintreten? Der http-Proxy könnte doch die Verbindung der vLANs (die ja auf der Maschine bekannt sind)generell blocken, nicht erst ermöglichen. Ein Freigeben dieser Verbindung wäre derselbe Aufwand, meiner Meinung nach aber seltener gewünscht.

Antworten