Securepoint Support Forum

Hallo zusammen,

wir haben jetzt über einen längeren Zeitraum unsere Black Dwarf im Einsatz mit mehreren VLAN´s, alles problemlos.

Das VLAN 100 und VLAN 200 sind komplett voneinander getrennt, lediglich die Internetverbindung wird über die Securepoint geteilt.

Nachdem ich mal wieder das Thema Proxy/Webfilter in Angriff genommen habe ist mir aufgefallen das ich jetzt auf einmal von einem VLAN ins andere komme, obwohl ich nur 1 Rechner probehalber mit dem Proxy umgestellt habe.

Zum Verständnis:

VLAN 100 = Alle Rechner unberührt, Konfi und Portregeln nicht angepasst.

VLAN 200 = Einen Rechner mit dem Proxy Konfiguriert und dem VLAN 200 Netzwerk den Webcach auf dem VLAN 200 Interface freigegeben.

Der Transparent Proxy ist Deaktiviert.
SSL Intercept ist Aktiviert und Funktioniert.



Kann irgendwer dieses verhalten erklären? bzw. hat eine Lösung dies wieder abzustellen.
Ebenso ist mir aufgefallen das ich mit Proxyverbindung auch auf die Adminoberfläche der Securepoint komme obwohl dies eigentlich nicht möglich sein sollte



Gruß Dennis

Hallo,

das liegt daran das es ein Dienst der Firewall ist. Daher sind die Netze bekannt und werden dann dementsprechend weitergegeben. Wenn Sie dies nicht wollen sollten Sie in den Internetoptionen die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.


Gruß Björn

Bjoern hat geschrieben:Hallo,

das liegt daran das es ein Dienst der Firewall ist. Daher sind die Netze bekannt und werden dann dementsprechend weitergegeben. Wenn Sie dies nicht wollen sollten Sie in den Internetoptionen die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.


Gruß Björn

Danke für deine Antwort, ich werde das später mal ausprobieren

Bjoern hat geschrieben:Hallo,

das liegt daran das es ein Dienst der Firewall ist. Daher sind die Netze bekannt und werden dann dementsprechend weitergegeben. Wenn Sie dies nicht wollen sollten Sie in den Internetoptionen die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.


Gruß Björn

Hallo, ich möchte mehrere VLAN's einrichten, die keine Verbindung untereinander haben sollen. Mehrere, nicht alle, sollen aber den Proxy/ Webfilter nutzen. Können sie bitte kurz erläutern, was sie mit

die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.

genau meinen ?.

Hallo,

in den Internetoptionen von Windows können Sie beim Proxy Ausnahmen setzen. Hier wären dann die Zielnetze als Ausnahme zu setzen.

Gruß Björn

Hallo, ok, habe ich verstanden. Die "Ausnahmen" nutzen dann nicht den Proxy, damit gelten wieder die Firewallregeln.
Also eine Ausnahme wie "192.168.xxx.0/24" löst das Problem.

Danke

Thomas

Hallo,

also besser wäre es doch das über den Webfilter zu machen bzw. für den transparenten Proxy Ausnahmen in der Securepoint einzutragen - ansonsten braucht der Benutzer nur die Ausnahmen aus dem IE rauslöschen und kommt wieder hin wo er ggf. garnicht hin soll...

Aber danke für den Thread - jetzt ist mir auch gerade aufgefallen, dass da letztens ja was war - nur hatte ich keine Zeit das gleich näher zu hinterfragen, warum das doch geht, obwohl´s eigentlich nicht sollte.

Eventuell wäre hier auch ein gewisses Umdenken seitens Securepoint hilfreich, denn wenn man Verbindungen über den Proxy zwischen internen VLANs will, dann sollte man das einstellen müssen anstatt darüber nachzudenken, wo überall alle möglichen Kombinationen verboten werden sollten, damit da kein Verkehr über den Proxy von einem VLAN ins andere gelangt.

Warum? Dies ist doch bereits moeglich?

Fuer den Proxy kann eine ausgehende IP-Adresse angegeben werden. Eingehend an den Interfaces entsprechend fuer den festen Proxy helfen Portfilterregeln. Und beim TP kann man zum Schluss  Exclude-Regeln erstellen.

Die Firewall darf alles. Wenn man das im Hinterkopf behaelt sind die notwendigen Schritte schnell unternommen.