ich habe hier ein Szenario bei dem ich unsere Securepoint UTM300 nicht verstehe.
Folgende Ausgangssituation:
In einem Produktionsnetzwerk sollen die Endgeräte (hauptsächlich Zebra Android Smartphones) sich nur mit dem Chrome auf einer internen Website bewegen dürfen.
DHCP, DNS und Gateway macht in diesem Fall die UTM selbst. Der Webserver ist im identischen Netzwerk direkt erreichbar, bedarf also keines Routings.
Das aufgestellte Regelwerk für das Netzwerk ist ebenfalls denkbar einfach:
- Netzwerk ETH5 an UTM Interface ETH5 für "any" --> ACCEPT
- Netzwerk ETH5 an Internet für "any" mit HIDENAT --> REJECT
Der Effekt am Smartphone ist leider unbefriedigend, zwar werden alle Verbindungen nach außen blockiert, aber beim Aufruf der internen Webseite wird diese sofort angezeigt, Chrome tut aber noch irgendetwas im Hintergrund, so dass der Ladebalken bei 80% stehen bleibt.
Dies für mehrere Sekunden, dann zuckt er zweimal auf 100%, um dann schlussendlich zu verschwinden und den Ladevorgang abzuschließen.
Bis alles fertig ist, lässt er auch keine weitere Eingabe an die Webseite zu, was zum Frust bei den Anwendern führt.
Dass die Webseite keine Verbindungen nach außen aufbaut weiß ich, da diese aus eigener Entwicklung stammt, zudem haben wir dieses Konstrukt an einem zweiten Standort (ohne Securepoint UTM) mit einer OPNsense Firewall genauso im Einsatz und dort funktioniert alles einwandfrei.
Was wurde versucht:
- Regel von REJECT auf BLOCK zu stellen, keine Veränderung (bei der OPNsense führt ein "Block" übrigens zu genau dem o.g. Effekt, da der Client keine Antwort auf seine Anfrage erhält und in einen Timeout läuft).
- 1. Regel von war ursprünglich nur für DNS & DHCP freigegeben, wurde bedingt durch den Effekt auf "any" angepasst.
- Temporär Internetzugriff zulassen, dann sind die Ladebalken ebenfalls weg.
Damit verschwinden die Ladezeiten auf der Stelle.
Braucht die Securepoint noch etwas an Regelwerk, um Datenverkehr mit entsprechender Antwprt zurückzuweisen?
Grüße
ToWa