Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Meine Standard-Firewall-Verweigerungsregel blockiert meinen LAN-Verkehr? Firewalls oder Router WAN- und LAN-Zone nicht richtig getrennt Firewall icon

Avatar
  • Aktualisiert
Zurück nach oben

Dieser Artikel soll ein häufiges Problem erläutern, über das unsere Kunden regelmäßig berichten. Der Grund dafür ist keine Firewall-Fehlkonfiguration oder ein Fehler, sondern ein Problem in der Netzwerktopologie.

 

1. Symptome des Problems

2. Die eigentliche Ursache für dieses Symptom

3. Wie man beweist, dass die Topologie der Grund dafür ist

4. So beheben Sie dieses Problem

5. Überprüfung des Ergebnisses

 

 

1. Symptome des Problems

Möglicherweise stellen Sie fest, dass LAN-Clients nicht auf das Internet zugreifen können. Unter „Überwachen“ > „Protokoll“ stellen Sie möglicherweise fest, dass die Firewall-Standardregel „Deny“ den Datenverkehr für diese Geräte blockiert.

mceclip2.png

 

2. Die eigentliche Ursache für dieses Symptom

Wir haben festgestellt, dass in diesen Fällen die Topologie so aussah. Das Ziel war vielleicht, Hardware wie einen Switch einzusparen und VLANs zu verwenden, um den Switch in "zwei verschiedene getrennte logische Switches" zu trennen.

mceclip3.png

Während die obige Topologie stark vereinfacht ist, kann es in einem realen Szenario schwierig sein, dies sofort zu erkennen. Aber der Grundgedanke ist klar: WAN- und LAN-Zone sind nicht richtig getrennt!

 

3. Wie man beweist, dass die Topologie der Grund dafür ist

Während die Überprüfung der Verkabelung und des VLAN-Tagging auf dem Switch zeitaufwändig sein kann, können Sie dies am einfachsten sofort überprüfen, indem Sie die ARP-Tabelle Ihrer Firewall überprüfen. Sie müssen sich über SSH anmelden und den Befehl verwenden:

 show arp-table

mceclip0.png

Im obigen Beispiel sehen Sie, dass auf dem WAN-Port private IPs gelernt wurden, die zum LAN gehören. Daher ist dies bereits ein Beweis dafür, dass etwas mit Ihrer Verkabelung oder dem VLAN-Tagging Ihres Switches nicht stimmt.

 

4. So beheben Sie dieses Problem

Wenn Sie Hardware sparen und vielleicht ein und denselben Switch auf der LAN- und WAN-Seite Ihrer Firewall verwenden möchten, achten Sie bitte auf das korrekte VLAN-Tagging. Durch die Verwendung von VLANs ist es tatsächlich möglich, aus einem Hardware-Switch „zwei getrennte Switches“ zu machen.

Stellen Sie sicher, dass es nur eine PVID und ein ungetaggtes VLAN pro Port gibt und schließen Sie alle anderen nicht benötigten VLANs von jedem Port aus! Weitere Informationen zum VLAN-Tagging auf Switches hier: VLANs auf Zyxel Switches

 

 

5. Überprüfung des Ergebnisses

Möglicherweise müssen Sie zuerst die ARP-Tabelle löschen: Löschen der ARP-Tabelle Ihrer Firewall


Führen Sie dann den Befehl aus

 show arp-table

erneut prüfen, ob die LAN-MACs und -IPs nur auf der LAN-Schnittstelle statt auf der WAN-Schnittstelle gelernt werden.

 

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Genauigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Contact Us
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.